Es la parte visible de una aplicación, es el
conjunto de programas y actividades programadas que cumplen con un objetivo
específico y que usan esquemas de seguridad criptográfica (La criptografía es
una parte importante de la prevención de los datos privados de ser robados.).
En
la era digital, las empresas solicitan mucho a los ingenieros de computación y
sistemas expertos en seguridad informática. Esto se debe, a la gran cantidad de
ataques informáticos que reciben y la necesidad de impedir las intrusiones de
los temidos 'hackers'.
Una de las principales funciones de un experto en
seguridad informática es prevenir la intrusión de algún desconocido que quiera
acceder a la información privada de una empresa o persona.
Podemos afirmar que los problemas más comunes son:
1. Utilización
de claves que hemos descubierto.
2. Contestar al
autor de un mensaje con el mismo mensaje en lugar de darle una respuesta
adecuada.
3. Suplantación
o alegar una personalidad falsa.
4. Actuar de
Intermediario, es decir, suplantar doblemente, situándose en el medio de dos
usuarios legales e intervenir activamente el tráfico de ambos.
5. Construir
Diccionarios con nombres de usuarios y sus claves.
6. Se verán los
protocolos más conocidos para identificación de usuarios y establecimiento de
claves secretas de sesión, utilizando sistemas de cifrado simétricos.
Nivel de aseguramiento de protocolos
Seguridad en el nivel de red: 1 Se busca
garantiza que el tráfico que envían los protocolos de nivel superior (TCP, UDP)
se transmita protegido.2. Un Inconveniente: puede ser necesario
adaptar/reconfigurar la infraestructura de red (routers) para gestionar la
nueva información añadida al protocolo IP.
Protocolo SSL/TLS (Secure Socket Layer / Transport
Security Layer)
Secure
Sockets Layer y su sucesor Transport Layer Security son protocolos
criptográficos que proporcionan comunicaciones seguras por una red, comúnmente
Internet.
SSL proporciona autenticación y privacidad de la información entre extremos
sobre Internet mediante el uso de criptografía. Habitualmente, sólo el servidor
es autenticado (es decir, se garantiza su identidad) mientras que el cliente se
mantiene sin autenticar.
SSL implica una serie de fases básicas:
1. Negociar
entre las partes el algoritmo que se usará en la comunicación
2. Intercambio
de claves públicas y autenticación basada en certificados digitales
3. Cifrado del
tráfico basado en cifrado simétrico
4. Protocolos
criptográficos que proporcionan confidencialidad e integridad a las
comunicaciones en redes TCP/IP
5. Protegen del
nivel de transporte hacia arriba
6. Protegen la
comunicación end-to-end
7. Son la base
de las comunicaciones seguras con navegadores web
VENTAJAS:
Proporciona
a una comunicación:Confidencialidad (cifrado)
Integridad (mediante HMAC)
Autenticidad de servidor (y en algunos casos, de cliente, mediante certificados)
Ejemplo de una conexión:
1. Se inicia la
conexión segura
2. El cliente
exige al servidor el certificado digital, que este envía junto con un ID de
sesión
3. El cliente
verifica el certificado y envía sus preferencias de cifrado (y su certificado,
en caso de que lo exija el servidor), junto con una clave de sesión cifrada con
la clave pública del servidor
4. El servidor
verifica el certificado del cliente (si procede), y comprueba las peticiones de
cifrado.
5. Descifra la
clave de sesión y acepta las preferencias del cliente
6. Se establece
la conexión cifrada con la clave de sesión
SSH (Secure SHell)
- Alternativa a programas de acceso remoto no seguros, como telnet, ftp, rlogin, rsh y rcp (slogin, ssh y scp)
- Proporciona terminal de sesión cifrada con autenticación fuerte del servidor y el cliente, usando criptografía de clave pública
- Incluye características como:
- Una variedad de mecanismos de autenticación de usuarios
- Conexiones TCP arbitrarias de tunneling a través de la sesión SSH,
- Protegiendo protocolos inseguros como IMAP y permitiendo el paso
- Seguro a través de cortafuegos
- Reenvío automático de conexiones X windows
- Soporte para métodos de autenticación externa, incluyendo Kerberos
- SSH está basado en protocolos documentados por el IETF
- Después de la conexión inicial, el cliente puede verificar que se está conectando al mismo servidor durante sesiones posteriores.
- El cliente puede transmitir su información de autentificación al servidor, como el nombre de usuario y la contraseña, en formato cifrado.
- Si el servidor usa la técnica del reenvío de puerto, los protocolos considerados como inseguros (POP, IMAP...), se pueden cifrar para garantizar una comunicación segura.
- transferencias seguras de ficheros
Secuencia de eventos de una conexión SSH:
1. Se crea una
capa de transporte segura para que el cliente sepa que está efectivamente
comunicando con el servidor correcto. Luego se cifra la comunicación entre el
cliente y el servidor por medio de un código simétrico
2. Con la
conexión segura al servidor en su lugar, el cliente se autentifica ante el
servidor sin preocuparse de que la información de autentificación pudiese
exponerse a peligro. OpenSSH usa claves DSA o RSA y la versión 2.0 del
protocolo SSH para autenticaciones predeterminadas
3. Con el
cliente autentificado ante el servidor, se pueden usar varios servicios
diferentes con seguridad a través de la conexión, como una sesión shell
interactiva, aplicaciones X11 y túneles TCP/IP
IP SEC
Es uno de los más empleado es un grupo de extensiones de la familia del
protocolo IP pensado para proveer servicios de seguridad a nivel de red,(GRE
47) el protocolo de Encapsulación de Enrutamiento Genérico. Se emplea en
combinación con otros protocolos de túnel para crear redes de internet
virtuales. Conjunto de protocolos definido como parte de IPv6 (nueva versión),
permite cifrar y/o autentificar todo el tráfico a nivel IP.
Es
un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el
Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un
flujo de datos. IPsec también incluye protocolos para el establecimiento de
claves de cifrado.
IPsec fue proyectado para proporcionar seguridad en modo transporte (extremo a
extremo) del tráfico de paquetes, en el que los ordenadores de los extremos
finales realizan el procesado de seguridad, o en modo túnel (puerta a puerta)
en el que la seguridad del tráfico de paquetes es proporcionada a varias
máquinas (incluso a toda la red de área local) por un único nodo.
En modo transporte, sólo la carga útil (los datos que se transfieren) del paquete IP es cifrada o autenticada. El enrutamiento permanece intacto, ya que no se modifica ni se cifra la cabecera IP; sin embargo, cuando se utiliza la cabecera de autenticación (AH), las direcciones IP no pueden ser traducidas, ya que eso invalidaría el hash. Las capas de transporte y aplicación están siempre aseguradas por un hash, de forma que no pueden ser modificadas de ninguna manera (por ejemplo traduciendo los números de puerto TCP y UDP). El modo transporte se utiliza para comunicaciones ordenador a ordenador.
En el modo túnel, todo el paquete IP (datos más cabeceras del mensaje) es cifrado o autenticado. Debe ser entonces encapsulado en un nuevo paquete IP para que funcione el enrutamiento. El modo túnel se utiliza para comunicaciones red a red (túneles seguros entre routers, p.e. para VPNs) o comunicaciones ordenador a red u ordenador a ordenador sobre Internet.
1. Cifrar el
tráfico (de forma que no pueda ser leído por nadie más que las partes a las que
está dirigido)
2. Validación
de integridad (asegurar que el tráfico no ha sido modificado a lo largo de su
trayecto)
3. Autenticar a
los extremos (asegurar que el tráfico proviene de un extremo de confianza)
4. Anti-repetición
(proteger contra la repetición de la sesión segura).
5. IPsec
establecer dos modos básicos de operación de IPsec: modo transporte y modo
túnel.
Amenazas
que evita:
·
Escucha y captura de paquetes IP.
·
Paquetes IP con dirección de origen falsa.
·
Evitar "engaños" a aplicaciones que usan
autentificación basada en direcciones IP.
El GRE está documentado en el RFC 1701 y el RFC 1702. Fue diseñado para
proporcionar mecanismos de propósito general, ligeros y simples, para
encapsular datos sobre redes IP. El GRE es un protocolo cliente de IP que usa
el protocolo IP 47.
Este protocolo es normalmente usado con VPN de Microsoft entre servidores con
acceso remoto (RRAS) configurados para el enrutamiento entre redes de área
local.
Características:
- Permite emplear protocolos de encaminamiento especializados que obtengan el camino
- óptimo entre los extremos de la comunicación.
- Soporta la secuencia de paquetes y la creación de túneles sobre redes de alta velocidad.
- Permite establecer políticas de encaminamiento y seguridad.
Esquema:
GRE se encarga del encapsulamiento de los datos para enviarlos por un túnel, pero él no crea no los túneles, de eso de encarga el protocolo PPTP u otro que estemos empleando.
El proceso de encapsulamiento tienen los siguientes pasos:
1. El paquete
IP con los datos se transmite desde el cliente al servidor E-RRAS.
2. Se le añade la cabecera del PPP y se cifra todo junto obteniendo un ‘fragmento
PPP’.
3. Los datos cifrados se colocan dentro de un paquete GRE con su correspondiente
cabecera.
4. Se envía el paquete GRE del servidor E-RRAS al servidor R-RRAS a través de
Internet.
5. Este envía se realiza por una conexión VPN creada anteriormente.
6. El servidor R-RRAS elimina los encabezados GRE, descifra, elimina el encabezado
PPP y transmite los datos (paquete IP) al cliente.
7. Los datos cifrados se colocan dentro de un paquete GRE con su correspondiente
cabecera.(Gustavo)
Una característica importante en el uso del PPTP es su soporte para VPN. La
mejor parte de esta característica es que soporta VPN`s sobre public-switched
telephone networks (PSTNs) que son los comúnmente llamados accesos telefónicos
a redes.
El PPTP utiliza una conexión TCP conocida como la conexión de control de PPTP
para crear, mantener y terminar el túnel, y una versión modificada de GRE, para
encapsular los paquetes (frames) PPP como datos para el túnel.
Protocolo
de tunelizado de nivel 2 (L2TP)
L2TP
(Layer 2 Tunneling Protocol) fue diseñado como el heredero aparente de los
protocolos PPTP y L2F, creado para corregir las deficiencias de estos
protocolos. L2TP utiliza PPP para proporcionar acceso telefónico que puede ser
dirigido a través de un túnel por Internet hasta un punto determinado. L2TP
define su propio protocolo de establecimiento de túneles, basado en L2F. El
transporte de L2TP está definido para una gran variedad de tipos de paquete,
incluyendo X.25, Frame Relay y ATM.
Al utilizar PPP para el establecimiento telefónico de enlaces, L2TP incluye los
mecanismos de autenticación de PPP, PAP y CHAP. De forma similar a PPTP,
soporta la utilización de estos protocolos de autenticación, como RADIUS.
A pesar de que L2TP ofrece un acceso económico, con soporte multiprotocolo y
acceso a redes de área local remotas, no presenta unas características
criptográficas especialmente robustas. Por ejemplo:
1. Sólo se
realiza la operación de autenticación entre los puntos finales del túnel, pero
no para cada uno de los paquetes que viajan por él. Esto puede dar lugar a
suplantaciones de identidad en algún punto interior al túnel.
2. Sin
comprobación de la integridad de cada paquete, sería posible realizar un ataque
de denegación del servicio por medio de mensajes falsos de control que den por
acabado el túnel L2TP o la conexión PPP subyacente.
3.
Erativo consiste en tener libre de todo peligro,
daño o riesgo y que debe ser de una manera infalible.
No hay comentarios.:
Publicar un comentario