PROTOCOLOS DE SEGURIDAD

Es la parte visible de una aplicación, es el conjunto de programas y actividades programadas que cumplen con un objetivo específico y que usan esquemas de seguridad criptográfica (La criptografía es una parte importante de la prevención de los datos privados de ser robados.). 

En la era digital, las empresas solicitan mucho a los ingenieros de computación y sistemas expertos en seguridad informática. Esto se debe, a la gran cantidad de ataques informáticos que reciben y la necesidad de impedir las intrusiones de los temidos 'hackers'.

Una de las principales funciones de un experto en seguridad informática es prevenir la intrusión de algún desconocido que quiera acceder a la información privada de una empresa o persona.

 

Define las reglas que gobiernan estas comunicaciones. Diseñadas para que el sistema pueda soportar ataques de carácter maliciosos. Los protocolos son diseñados bajo ciertas primicias con respecto a los riesgos.

Podemos afirmar que los problemas más comunes son:

1.    Utilización de claves que hemos descubierto.

2.    Contestar al autor de un mensaje con el mismo mensaje en lugar de darle una respuesta adecuada.

3.    Suplantación o alegar una personalidad falsa.

4.    Actuar de Intermediario, es decir, suplantar doblemente, situándose en el medio de dos usuarios legales e intervenir activamente el tráfico de ambos.

5.    Construir Diccionarios con nombres de usuarios y sus claves.

6.    Se verán los protocolos más conocidos para identificación de usuarios y establecimiento de claves secretas de sesión, utilizando sistemas de cifrado simétricos.

 

 

Nivel de aseguramiento de protocolos

Seguridad en el nivel de red: 1 Se busca garantiza que el tráfico que envían los protocolos de nivel superior (TCP, UDP) se transmita protegido.2. Un Inconveniente: puede ser necesario adaptar/reconfigurar la infraestructura de red (routers) para gestionar la nueva información añadida al protocolo IP.

 

 

Seguridad en el nivel de transporte: 1. Ventaja: solo precisa actualizar las implementaciones de TCP y/o UDP en los extremos de la comunicación.2. Supone un cambio a nivel de software (S.O. o librerías de sistema)

 

 

Seguridad en el nivel de aplicación: 1. Ventaja: mayor flexibilidad.2. Se puede responder mejor a las necesidades específicas de protocolos concretos (HTTPS, SSH, SET).

 

 

 

Protocolos

 

Protocolo SSL/TLS (Secure Socket Layer / Transport Security Layer)

Secure Sockets Layer y su sucesor Transport Layer Security son protocolos criptográficos que proporcionan comunicaciones seguras por una red, comúnmente Internet.

 

SSL proporciona autenticación y privacidad de la información entre extremos sobre Internet mediante el uso de criptografía. Habitualmente, sólo el servidor es autenticado (es decir, se garantiza su identidad) mientras que el cliente se mantiene sin autenticar.

SSL implica una serie de fases básicas:                                                             

1.    Negociar entre las partes el algoritmo que se usará en la comunicación

2.    Intercambio de claves públicas y autenticación basada en certificados digitales

3.    Cifrado del tráfico basado en cifrado simétrico

4.    Protocolos criptográficos que proporcionan confidencialidad e integridad a las comunicaciones en redes TCP/IP

5.    Protegen del nivel de transporte hacia arriba

6.    Protegen la comunicación end-to-end

7.    Son la base de las comunicaciones seguras con navegadores web

VENTAJAS:

Proporciona a una comunicación:
Confidencialidad (cifrado)
Integridad (mediante HMAC)
Autenticidad de servidor (y en algunos casos, de cliente, mediante certificados)

Ejemplo de una conexión:

1.    Se inicia la conexión segura

2.    El cliente exige al servidor el certificado digital, que este envía junto con un ID de sesión

3.    El cliente verifica el certificado y envía sus preferencias de cifrado (y su certificado, en caso de que lo exija el servidor), junto con una clave de sesión cifrada con la clave pública del servidor

4.    El servidor verifica el certificado del cliente (si procede), y comprueba las peticiones de cifrado.

5.    Descifra la clave de sesión y acepta las preferencias del cliente

6.    Se establece la conexión cifrada con la clave de sesión

SSH (Secure SHell)

 

Es un protocolo de nivel de aplicación para crear conexiones seguras entre dos sistemas sobre redes no seguras (SSH2)

• Alternativa a programas de acceso remoto no seguros, como telnet, ftp, rlogin, rsh y rcp (slogin, ssh y scp)
• Proporciona terminal de sesión cifrada con autenticación fuerte del servidor y el cliente, usando criptografía de clave pública
• Incluye características como:

1. Una variedad de mecanismos de autenticación de usuarios
2. Conexiones TCP arbitrarias de tunneling a través de la sesión SSH,
3. Protegiendo protocolos inseguros como IMAP y permitiendo el paso
4. Seguro a través de cortafuegos
5. Reenvío automático de conexiones X windows
6. Soporte para métodos de autenticación externa, incluyendo Kerberos

• SSH está basado en protocolos documentados por el IETF
• Después de la conexión inicial, el cliente puede verificar que se está conectando al mismo servidor durante sesiones posteriores.
• El cliente puede transmitir su información de autentificación al servidor, como el nombre de usuario y la contraseña, en formato cifrado.
• Si el servidor usa la técnica del reenvío de puerto, los protocolos considerados como inseguros (POP, IMAP...), se pueden cifrar para garantizar una comunicación segura.
• transferencias seguras de ficheros

Secuencia de eventos de una conexión SSH:

1.    Se crea una capa de transporte segura para que el cliente sepa que está efectivamente comunicando con el servidor correcto. Luego se cifra la comunicación entre el cliente y el servidor por medio de un código simétrico

2.    Con la conexión segura al servidor en su lugar, el cliente se autentifica ante el servidor sin preocuparse de que la información de autentificación pudiese exponerse a peligro. OpenSSH usa claves DSA o RSA y la versión 2.0 del protocolo SSH para autenticaciones predeterminadas

3.    Con el cliente autentificado ante el servidor, se pueden usar varios servicios diferentes con seguridad a través de la conexión, como una sesión shell interactiva, aplicaciones X11 y túneles TCP/IP 

 

IP SEC

Es uno de los más empleado es un grupo de extensiones de la familia del protocolo IP pensado para proveer servicios de seguridad a nivel de red,(GRE 47) el protocolo de Encapsulación de Enrutamiento Genérico. Se emplea en combinación con otros protocolos de túnel para crear redes de internet virtuales. Conjunto de protocolos definido como parte de IPv6 (nueva versión), permite cifrar y/o autentificar todo el tráfico a nivel IP.

 

Es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec también incluye protocolos para el establecimiento de claves de cifrado.

 

IPsec fue proyectado para proporcionar seguridad en modo transporte (extremo a extremo) del tráfico de paquetes, en el que los ordenadores de los extremos finales realizan el procesado de seguridad, o en modo túnel (puerta a puerta) en el que la seguridad del tráfico de paquetes es proporcionada a varias máquinas (incluso a toda la red de área local) por un único nodo.

 

 

Modo transporte:
En modo transporte, sólo la carga útil (los datos que se transfieren) del paquete IP es cifrada o autenticada. El enrutamiento permanece intacto, ya que no se modifica ni se cifra la cabecera IP; sin embargo, cuando se utiliza la cabecera de autenticación (AH), las direcciones IP no pueden ser traducidas, ya que eso invalidaría el hash. Las capas de transporte y aplicación están siempre aseguradas por un hash, de forma que no pueden ser modificadas de ninguna manera (por ejemplo traduciendo los números de puerto TCP y UDP). El modo transporte se utiliza para comunicaciones ordenador a ordenador.

 

 

Modo túnel:
En el modo túnel, todo el paquete IP (datos más cabeceras del mensaje) es cifrado o autenticado. Debe ser entonces encapsulado en un nuevo paquete IP para que funcione el enrutamiento. El modo túnel se utiliza para comunicaciones red a red (túneles seguros entre routers, p.e. para VPNs) o comunicaciones ordenador a red u ordenador a ordenador sobre Internet.

 

 

Como el Protocolo de Internet no provee intrínsecamente de ninguna capacidad de seguridad, IPsec se introdujo para proporcionar servicios de seguridad tales como:

1.    Cifrar el tráfico (de forma que no pueda ser leído por nadie más que las partes a las que está dirigido)

2.    Validación de integridad (asegurar que el tráfico no ha sido modificado a lo largo de su trayecto)

3.    Autenticar a los extremos (asegurar que el tráfico proviene de un extremo de confianza)

4.    Anti-repetición (proteger contra la repetición de la sesión segura).

5.    IPsec establecer dos modos básicos de operación de IPsec: modo transporte y modo túnel.

 

 

Amenazas que evita:

·         Escucha y captura de paquetes IP.

·         Paquetes IP con dirección de origen falsa.

·         Evitar "engaños" a aplicaciones que usan autentificación basada en direcciones IP.

 

Generic Routing Encapsulation (GRE 47)

 

Es el protocolo de Encapsulación de Enrutamiento Genérico. Se emplea en combinación con otros protocolos de túnel para crear redes virtuales privadas.

El GRE está documentado en el RFC 1701 y el RFC 1702. Fue diseñado para proporcionar mecanismos de propósito general, ligeros y simples, para encapsular datos sobre redes IP. El GRE es un protocolo cliente de IP que usa el protocolo IP 47.

Este protocolo es normalmente usado con VPN de Microsoft entre servidores con acceso remoto (RRAS) configurados para el enrutamiento entre redes de área local.

Características:

1. Permite emplear protocolos de encaminamiento especializados que obtengan el camino
2. óptimo entre los extremos de la comunicación.
3. Soporta la secuencia de paquetes y la creación de túneles sobre redes de alta velocidad.
4. Permite establecer políticas de encaminamiento y seguridad.

Esquema:

GRE se encarga del encapsulamiento de los datos para enviarlos por un túnel, pero él no crea no los túneles, de eso de encarga el protocolo PPTP u otro que estemos empleando.
El proceso de encapsulamiento tienen los siguientes pasos:

1.    El paquete IP con los datos se transmite desde el cliente al servidor E-RRAS.

2.    Se le añade la cabecera del PPP y se cifra todo junto obteniendo un ‘fragmento PPP’.

3.    Los datos cifrados se colocan dentro de un paquete GRE con su correspondiente cabecera.

4.    Se envía el paquete GRE del servidor E-RRAS al servidor R-RRAS a través de Internet.

5.    Este envía se realiza por una conexión VPN creada anteriormente.

6.    El servidor R-RRAS elimina los encabezados GRE, descifra, elimina el encabezado PPP y transmite los datos (paquete IP) al cliente.

7.    Los datos cifrados se colocan dentro de un paquete GRE con su correspondiente cabecera.(Gustavo)

 

 

Point-to-Point Tunneling Protocol (PPTP)
 

Protocolo PPTP permite el intercambio seguro de datos de un cliente a un servidor formando una Red Privada Virtual (VPN, por el anglicismo Virtual Private Network), basado en una red de trabajo vía TCP/IP. El punto fuerte del PPTP es su habilidad para proveer en la demanda, multi-protocolo soporte existiendo una infraestructura de área de trabajo, como INTERNET.

 

Una característica importante en el uso del PPTP es su soporte para VPN. La mejor parte de esta característica es que soporta VPN`s sobre public-switched telephone networks (PSTNs) que son los comúnmente llamados accesos telefónicos a redes.

 

El PPTP utiliza una conexión TCP conocida como la conexión de control de PPTP para crear, mantener y terminar el túnel, y una versión modificada de GRE, para encapsular los paquetes (frames) PPP como datos para el túnel.

 

 

 

Protocolo de tunelizado de nivel 2 (L2TP)
 

L2TP (Layer 2 Tunneling Protocol) fue diseñado como el heredero aparente de los protocolos PPTP y L2F, creado para corregir las deficiencias de estos protocolos. L2TP utiliza PPP para proporcionar acceso telefónico que puede ser dirigido a través de un túnel por Internet hasta un punto determinado. L2TP define su propio protocolo de establecimiento de túneles, basado en L2F. El transporte de L2TP está definido para una gran variedad de tipos de paquete, incluyendo X.25, Frame Relay y ATM.

 

 

Al utilizar PPP para el establecimiento telefónico de enlaces, L2TP incluye los mecanismos de autenticación de PPP, PAP y CHAP. De forma similar a PPTP, soporta la utilización de estos protocolos de autenticación, como RADIUS.

 

 

A pesar de que L2TP ofrece un acceso económico, con soporte multiprotocolo y acceso a redes de área local remotas, no presenta unas características criptográficas especialmente robustas. Por ejemplo:

1.    Sólo se realiza la operación de autenticación entre los puntos finales del túnel, pero no para cada uno de los paquetes que viajan por él. Esto puede dar lugar a suplantaciones de identidad en algún punto interior al túnel.

2.    Sin comprobación de la integridad de cada paquete, sería posible realizar un ataque de denegación del servicio por medio de mensajes falsos de control que den por acabado el túnel L2TP o la conexión PPP subyacente.

3.      Erativo consiste en tener libre de todo peligro, daño o riesgo y que debe ser de una manera infalible.