Escolar Documentos
Profissional Documentos
Cultura Documentos
Redes I
SEGURIDAD DE REDES I
CARRERAS PROFESIONALES
CIBERTEC
NDICE
Pgi
na
Presentacin
Red de contenidos
Unidad de aprendizaje 1:
Elementos de Seguridad y Administracin de Riesgos
1.1 Tema 1
: Introduccin bsica a la Seguridad.
1.1.1. : Terminologa usada en la Seguridad de Red.
1.1.2. : Servicios de Seguridad.
1.1.3. : Historia Documentada de los Hackers.
1.1.4.
Aplicaciones para Auditar la Seguridad.
1.2 Tema 2
: Elementos de la Seguridad y Ataques
1.2.1. : Pilares de la Seguridad.
1.2.2. : Estrategia de Seguridad Multicapa.
1.2.3. : Tipos de Atacantes y Ataques.
1.3 Tema 3
: Riesgos
1.3.1. : Situacin Actual de la Seguridad.
1.3.2. : Mitos de Seguridad.
1.3.3. : Valor y Clasificacin de la Informacin.
1.3.4.
Amenazas, Vulnerabilidades y Riesgos
1.3.5.
Seguridad Fsica.
1.3.6.
Estndares y Polticas de Seguridad para la Administracin
de los Riesgos.
7
9
11
11
12
13
15
17
18
18
24
23
23
24
24
25
25
26
Unidad de aprendizaje 2:
Criptografa y Algoritmos Criptogrficos
2.1 Tema 4
: Criptografa
2.1.1. : Introduccin a la Criptografa
2.1.2. : Historia de la Criptografa
2.1.3. : Criptografa Moderna
2.1.4.
Criptografa Simtrica y Asimtrica
2.1.5.
Criptoanlisis.
2.2 Tema 5
: Criptografa con Llave Simtrica
2.2.1. : Introduccin a la Criptografa Simtrica
2.2.2. : Cifrado DES, 3DES, AES e IDEA.
2.3 Tema 6
: Criptografa con Llave Asimtrica
2.3.1. : Introduccin a la Criptografa Asimtrica.
2.3.2. : Cifrado RSA.
2.3.3. : Principales ramas de la criptografa asimtrica.
2.4 Tema 7
: Criptografa Hibrida
2.4.1. : Introduccin a la Criptografa Hibrida.
2.4.2. : Uso de GNU Privacy Guard.
31
31
32
37
37
39
42
42
43
51
51
52
55
57
57
57
Unidad de aprendizaje 3:
Infraestructura PKI
3.1 Tema 8
: PKI
3.1.1. : Introduccin a PKI.
3.1.2. : Componentes de la infraestructura PKI.
3.1.3. : Jerarquas de Certificacin.
3.1.4.
Administracin de Certificados y Claves.
63
63
65
66
67
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
3.2 Tema 9
3.2.1.
3.2.2.
3.2.3.
3.2.4.
71
71
71
76
77
:
:
:
:
:
Unidad de aprendizaje 4:
Protocolo de Autenticacin Kerberos.
4.1 Tema 10
: Protocolo de Autenticacin Kerbero
4.1.1. : Introduccin a Kerberos
4.1.2. : Historia de Kerberos.
4.1.3. : Arquitectura de Kerberos.
4.1.4. : Funcionamiento de Kerberos
Unidad de aprendizaje 5
Tecnologas y Protocolos de Seguridad
5.1 Tema 11 : Firewall
5.1.1. : Introduccin al Firewall
5.1.2. : Tipos de Firewall.
5.1.3. : Topologas de Firewalls.
5.1.4.
Configuracin del Firewall.
5.2 Tema 12 : Tecnologas y Protocolos de Seguridad
5.2.1. : Aspectos de Seguridad de los Protocoles IP v6, SSL, TLS,
S/Mime y IPSec.
5.2.2. : Introduccin a los Sistemas de Deteccin de Intrusos (IDS)
5.2.3. : Sistema de Prevencin de Intrusos
5.2.4. : Infraestructura de Servidores VPN
5.2.5. : Protocolos de Seguridad de las conexiones inalmbricas
(WEP, WPA y WPA2)
Bibliografa
CARRERAS PROFESIONALES
78
85
85
85
86
87
93
93
93
96
98
101
104
112
115
116
121
129
CIBERTEC
Presentacin
Seguridad de Redes I pertenece a la lnea formativa de infraestructura TI y se dicta en
todas las carreras de Redes y Comunicaciones. El curso brinda un conjunto de
conocimientos tericos y prcticos que permite a los alumnos analizar y utilizar mtodos
de correccin y contingencia en las redes.
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
CARRERAS PROFESIONALES
CIBERTEC
Red de Contenidos
Introduccin
a la
Seguridad
Elementos
de la
Seguridad
Criptograf
a
Elementos de
Seguridad y
Administracin de
Riesgos
Riesgos
Certificados y
Firmas
Digitales
PKI
Criptografa y
Algoritmos
Criptogrficos
Infraestructura
PKI
Seguridad de Redes I
Protocolo de
Seguridad
Protocolo de
Autenticacin
Kerberos
Protocolo de
Autenticacin
Kerberos
CIBERTEC
Tecnologas y
Protocolos de
Seguridad
Firewalls
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
CARRERAS PROFESIONALES
CIBERTEC
UNIDAD
1
ELEMENTOS DE SEGURIDAD Y
ADMINISTRACIN DE RIESGOS
LOGRO DE LA UNIDAD DE APRENDIZAJE
Al finalizar la unidad, el alumno, conoce los conceptos bsicos de seguridad, la
situacin actual y la importancia de la seguridad de la informacin.
TEMARIO
1.1 Tema 1
1.1.1.
1.1.2.
1.1.3.
1.1.4.
1.2 Tema 2
1.2.1.
1.2.2.
1.2.3.
1.3 Tema 3
1.3.1.
1.3.2.
1.3.3.
1.3.4.
1.3.5.
1.3.6.
:
:
:
:
:
:
:
:
:
:
:
:
ACTIVIDADES PROPUESTAS
Los alumnos mediante ejemplos clasifican los elementos de seguridad y las aplicaciones
usadas para auditar la seguridad en la empresa.
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
CARRERAS PROFESIONALES
10
CIBERTEC
11
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
12
Con prueba de origen: Cuando el destinatario tiene prueba del origen de los
datos.
Con prueba de entrega: Cuando el origen tiene prueba de la entrega ntegra
de los datos al destinatario deseado. Para proporcionar estos servicios de
seguridad es necesario incorporar en los niveles apropiados del Modelo de
Referencia OSI los siguientes mecanismos de seguridad:
CARRERAS PROFESIONALES
CIBERTEC
13
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
14
Fue arrestado por el FBI y enviado a prisin numerosas veces por phreaking. Stephen
Wozniak, un estudiante de Berkeley, fabric y vendi la caja azul para hacer dinero y
financiar la primera computadora Apple.
Robert Morris, Jr
Lanz el gusano Morris en 1988, el primer mayor gusano de Internet. El gusano Morris
explot vulnerabilidades en sendmail, fingerd, rsh y contraseas; infect 6000
maquinas con UNIX. El dao estimado fue de $10m - $100m.
Fue juzgado y condenado en el marco del Fraude Informtico de 1986 y Acta de
Abuso. CERT fue creado en respuesta del gusano Morris. Dnde est el ahora?
Profesor del MIT.
Kevin Mitnick
Se inici como Phreaker, inspirado en John Draper. Us un modem y una PC, tena el
control de las oficinas de telefona. Fue arrestado varias veces por robar contraseas y
manuales del operador de la oficina Pacific Bell. Irrumpi en la computadora del
Pentgono; rob software de Santa Cruz Operation (SCO) y de la DEC.
CARRERAS PROFESIONALES
CIBERTEC
15
Tsutomu Shimomura
Ayud a seguir los rastros del fugitivo Kevin Mitnick en 1995. Esto fue documentado en
el libro y pelcula Takedown.
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
16
Resumen
Los servicios de seguridad son: Autenticacin,
Confidencialidad, Integridad y Firma digital.
Control
de
acceso,
CARRERAS PROFESIONALES
CIBERTEC
17
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
18
el acceso, de manera fiable y en el tiempo definido, a los datos y recursos por parte
del personal apropiado.
CARRERAS PROFESIONALES
CIBERTEC
19
Script Kiddies. Personas que no saben nada de redes y/o protocolos, pero saben
cmo manejar las herramientas de ataque creadas por otros. Por lo general no
siguen una estrategia muy silenciosa de ataques.
Los ataques son amenazas que se materializan y generan perdidas a los sistemas que
eligen como objetivo. Los ataques se han clasificado de la siguiente manera:
Fuerza bruta: Ataque que logra obtener acceso a recursos mediante el rompimiento
de la clave de acceso a ese recurso. A travs del ensayo de prueba y error se
ingresan los datos de una cuenta y una clave de acceso en texto claro. Un ataque
tpico es identificar la clave de una cuenta de algn servicio. La forma de proteccin es
establecer lmites en el ingreso de claves a las cuentas habilitadas con monitoreo y
registro de actividades.
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
20
CARRERAS PROFESIONALES
CIBERTEC
21
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
22
Resumen
Los pilares de la seguridad son: Integridad, Confidencialidad y Disponibilidad.
La estrategia de seguridad multicapa nos permite identificar las medidas
correctivas para los diferentes niveles de ataque que se pueden dar en la red.
La ingeniera social es uno de los ataques ms efectivos para vulnerar la seguridad
en la red.
CARRERAS PROFESIONALES
CIBERTEC
23
1.3 RIESGOS
Riesgo se puede definir como aquella eventualidad que imposibilita el cumplimiento de
un objetivo. El riesgo es una media de las posibilidades del incumplimiento o exceso
del objetivo planeado. Un riesgo conlleva a dos tipos de consecuencias: Ganancias o
Prdidas. En informtica el riesgo solo tiene que ver con la amenaza que la
informacin puede sufrir, determinando el grado de exposicin y la prdida de la
misma. La ISO (Organizacin Internacional de Organizacin) define el riesgo
informtico como: La posibilidad que una amenaza se materialice, utilizando
vulnerabilidad existente en un activo o grupos de activos, generando se as perdidas o
daos.
En la actualidad se tiene diferentes medios de ataque que incrementa el riesgo de la
prdida de informacin, algunos de los elementos que nos pueden afectar
directamente a la informacin son: Los spam, los virus, los gusanos, Adware y
Spyware. Software que se maneja como cdigo malicioso, cabe sealar que esta
amenaza existente de cdigo malicioso no tiene nada, ya que fueron diseados con
inteligencia, con una secuencia bien estructurada, el nombre que deberan recibir es
Software con intenciones inadecuadas, provocan poco a poco el exterminio de la
productividad y privacidad. El principal problema de estos programas es que interfieren
en los resultados de la computadora. Por ejemplo, Internet Explorer puede pasar a
funcionar mal, puede colgarse la computadora con ms frecuencia o reducir su
velocidad de ejecucin.
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
24
Los puntos de ataque ahora no slo se dan a travs del correo electrnico sino desde
cualquier punto de acceso: Web, Internet, archivos compartidos, etc.
CARRERAS PROFESIONALES
CIBERTEC
25
R= V * A * VI
R= Riesgo V= Vulnerabilidad A= Amenaza.
Acondicionamiento fsico
Sistema redundante de energa elctrica.
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
2.
3.
26
4.
Seguridad personal
Asuncin de exigencia de confidencialidad respecto al manejo de la informacin.
Seguimiento de desempeo profesional del empleado.
Recomendaciones frente a robos, secuestros, etc.
Recomendaciones frente a los comentarios realizados.
ISO 7498-2.
ISO 17799.
ISO 7498-2
Es un documento que define a la seguridad como la minimizacin de vulnerabilidades
de bienes y recursos. Considera tres elementos principales:
CARRERAS PROFESIONALES
CIBERTEC
27
ISO 17799
ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la
gestin de la seguridad de la informacin dirigidas a los responsables de iniciar,
implantar o mantener la seguridad de una organizacin. Define la informacin como un
activo que posee valor para la organizacin y requiere por tanto de una proteccin
adecuada. El objetivo de la seguridad de la informacin es proteger adecuadamente
este activo para asegurar la continuidad del negocio, minimizar los daos a la
organizacin y maximizar el retorno de las inversiones y las oportunidades de negocio.
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
28
Resumen
Krutz y Vines clasifican la informacin por: Pblica, Sensible, Privada y
Confidencial.
Las organizaciones gubernamentales clasifican la informacin por: No clasificada,
Sensitiva pero no clasificada, confidencial, Secreta y Top Secret.
Los principales mitos de la seguridad son: El sistema puede llegar al 100% de
seguridad, Mi red no es atractiva para ser hackeada, nadie pensar que mi clave
es sencilla, Unix es ms seguro que Windows, Mi servidor de correos tiene
antivirus, por eso mi estacin no necesita antivirus.
Los criterios para la clasificacin de la informacin son: Valor, Antigedad y vida
til.
El valor de la informacin est relacionado con el riesgo, amenaza y vulnerabilidad.
La seguridad lgica no es suficiente, se deben tener en cuenta: La prdida de
energa, controlar el acceso a los servidores y tener medidas preventivas para
contrarrestar situaciones fortuitas como, incendio, asaltos, terremotos, etc.
Los estndares de seguridad internacionales son: ISO 7498-2 e ISO 17799
CARRERAS PROFESIONALES
CIBERTEC
29
UNIDAD
2
CRIPTOGRAFA Y ALGORITMOS
CRIPTOGRFICOS
LOGRO DE LA UNIDAD DE APRENDIZAJE
Al finalizar la unidad, el alumno, est en capacidad de analizar el funcionamiento de un
sistema basado en llaves simtricas y asimtricas, as como implementar un solucin
sencilla basada en certificados digitales.
TEMARIO
2.1 Tema 4
2.1.1.
2.1.2.
2.1.3.
2.1.4.
2.1.5.
2.2 Tema 5
2.2.1.
2.2.2.
2.3 Tema 6
2.3.1.
2.3.2.
2.3.3.
2.4 Tema 7
2.4.1.
2.4.2.
:
:
:
:
:
:
:
:
:
:
:
:
:
:
Criptografa
Introduccin a la Criptografa
Historia de la Criptografa
Criptografa Moderna
Criptografa Simtrica y Asimtrica
Criptoanlisis.
Criptografa con Llave Simtrica
Introduccin a la Criptografa Simtrica
Cifrado DES, 3DES, AES e IDEA.
Criptografa con Llave Asimtrica
Introduccin a la Criptografa Asimtrica.
Cifrado RSA.
Principales ramas de la criptografa asimtrica.
Criptografa Hibrida
Introduccin a la Criptografa Hibrida.
Uso de GNU Privacy Guard.
ACTIVIDADES PROPUESTAS
Los alumnos utilizan los diferentes tipos de cifrado e implementan sus propios cifrados
en base al cifrado del cesar.
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
CARRERAS PROFESIONALES
30
CIBERTEC
2.1
31
CRIPTOGRAFA
La palabra criptografa es un trmino genrico que describe todas las tcnicas que
permiten cifrar mensajes o hacerlos ininteligibles sin recurrir a una accin especfica.
El verbo asociado es cifrar.
La criptografa se basa en la aritmtica: En el caso de un texto, consiste en
transformar las letras que conforman el mensaje en una serie de nmeros (en forma
de bits ya que los equipos informticos usan el sistema binario) y luego realizar
clculos con estos nmeros para:
El hecho de codificar un mensaje para que sea secreto se llama cifrado. El mtodo
inverso, que consiste en recuperar el mensaje original, se llama descifrado.
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
32
CARRERAS PROFESIONALES
CIBERTEC
33
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
34
copia exacta del mismo bastn en el que enrollaba el mensaje recibido y, por tanto,
poda leer el texto en claro. En este sistema no existe modificacin alguna del
mensaje; es decir, este va en claro desde el transmisor hacia el receptor, por lo que
como veremos ms adelante se tratara de un cifrador por transposicin. De esta forma
se lograba el objetivo de la confidencialidad, en tanto que la integridad estaba en
entredicho y dependa de lo aguerrido y fiel que fuese nuestro mensajero. Si la cinta
era robada y se cambiaban los caracteres, podra llegar al receptor un mensaje sin
sentido y, lo que es peor, con un duplicado del bastn original poda enviarse un
mensaje con sentido completamente distinto al encomendado al mensajero. Haga un
viaje mental al pasado e imagnese lo que significara en aquellos tiempos que el
destinatario recibiera el mensaje falso MF = RENDICIN TOTAL en vez del verdadero
mensaje MV = ATACAMOS MAANA, ambos de 14 caracteres. Sin duda a ms de
alguno este desliz le costara su preciada cabeza.
B. El cifrador de Polybios
A mediados del siglo II a.c., encontramos el cifrador por sustitucin de caracteres ms
antiguo que se conoce. Atribuido al historiador griego Polybios, el sistema de cifra
consista en hacer corresponder a cada letra del alfabeto un par de letras que
indicaban la fila y la columna en la cual aquella se encontraba, en un recuadro de 5 x 5
= 25 caracteres, transmitindose por tanto en este caso el mensaje como un
criptograma. En la Figura 1.2 se muestra una tabla de cifrar de Polybios adaptada al
ingles, con un alfabeto de cifrado consistente en el conjunto de letras A, B, C, D y E,
aunque algunos autores representan el alfabeto de cifrado como los nmeros 1, 2, 3, 4
y 5.
Acorde con este mtodo, la letra A ser cifrara como AA, la H como BC, etc. Esto
significa que aplicamos una sustitucin al alfabeto {A, B, C,.., X, Y, Z} de 26 letras
convirtindolo en un alfabeto de cifrado {AA, AB, AC,..., EC, ED, EE} de 25 caracteres,
si bien solo existen 5 smbolos diferentes {A, B, C, D, E}. Este tipo de tabla o matriz de
cifrado ser muy parecida a la que en el siglo XIX se utilizara en el criptosistema
conocido como cifrador de Playfair y que ser tratado ms adelante en el apartado de
cifradores poligrmicos, salvo que en este ultimo la operacin de cifra no se realiza por
monogramas, como en el de Polybios, sino por diagramas, conjunto de dos caracteres
del texto en claro.
Ejemplo: Usando la Tabla del cifrador de Polybios, cifre el mensaje:
M = QUE BUENA IDEA LA DEL GRIEGO.
Solucin:
C= DADEAE ABDEAECCAA BDADAEAA CAAA ADAECA BBDBBDAEBBCD.
Aunque resulte elemental, se deja como ejercicio para el lector encontrar el
criptograma cuando se utiliza la tabla de Polybios con representacin numrica. El
criptograma que se obtiene con este cifrador tiene una extensin de caracteres igual al
CARRERAS PROFESIONALES
CIBERTEC
35
ABCDEFGHIJKLMNNOPQRSTUVWXYZ
DEFGHIJKLMNNOPQRSTUVWXYZABC
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
36
CARRERAS PROFESIONALES
CIBERTEC
37
Toda la seguridad de este sistema esta basada en la llave simtrica, por lo que es
misin fundamental, tanto del emisor como del receptor, conocer esta clave y
mantenerla en secreto. Si la llave cae en manos de terceros, el sistema deja de ser
seguro, por lo que habra que desechar dicha llave y generar una nueva. Para que un
algoritmo de este tipo sea considerado fiable debe cumplir varios requisitos bsicos:
1.
2.
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
38
Los algoritmos simtricos encriptan bloques de texto del documento original y son ms
sencillos que los sistemas de clave pblica; por lo que sus procesos de encriptacin y
desencriptacin son ms rpidos. Todos los sistemas criptogrficos clsicos se
pueden considerar simtricos y los principales algoritmos simtricos actuales son DES,
IDEA y RC5. Actualmente, se esta llevando a cabo un proceso de seleccin para
establecer un sistema simtrico estndar, que se llamara AES (Advanced Encryption
Standart) y se desea convertirlo en el nuevo sistema que se adopte a nivel mundial.
Las principales desventajas de los mtodos simtricos son la distribucin de las
claves, el peligro de que muchas personas deban conocer una misma clave y la
dificultad de almacenar y proteger muchas claves diferentes.
B. Criptografa Asimtrica
Tambin llamada asimtrica, se basa en el uso de dos claves diferentes, claves que
poseen una propiedad fundamental: una clave puede desencriptar lo que la otra ha
encriptado.
Generalmente una de las claves de la pareja, denominada clave privada, es usada por
el propietario para encriptar los mensajes, mientras que la otra, llamada clave pblica,
es usada para desencriptar el mensaje cifrado. Las claves pblica y privada tienen
caractersticas matemticas especiales, de tal forma que se generan siempre a la vez,
por parejas, estando cada una de ellas ligada intrnsecamente a la otra; de tal forma
que si dos llaves pblicas son diferentes, entonces sus llaves privadas asociadas
tambin lo son y viceversa. Los algoritmos asimtricos estn basados en funciones
matemticas fciles de resolver en un sentido, pero muy complicadas de realizar en
sentido inverso; salvo que se conozca la clave privada, como la potencia y el
logaritmo. Ambas claves, pblica y privada, estn relacionadas matemticamente,
pero esta relacin debe ser lo suficientemente compleja como para que resulte muy
difcil obtener una a partir de la otra. Este es el motivo por el que normalmente estas
claves no las elige el usuario, si no que lo hace un algoritmo especifico para ello y
suelen ser de gran longitud. Mientras que la clave privada debe mantenerla en secreto
su propietario, ya que es la base de la seguridad del sistema, la clave pblica es
difundida ampliamente por Internet, para que est al alcance del mayor nmero
posible de personas, existiendo servidores que guardan, administran y difunden dichas
claves.
En este sistema, para enviar un documento con seguridad, el emisor (A) encripta el
mismo con la clave publica del receptor (B) y lo enva por el medio inseguro. Este
documento est totalmente protegido en su viaje, ya que solo se puede desencriptar
con la clave privada correspondiente, conocida solamente por B. Al llegar el mensaje
cifrado a su destino, el receptor usa su clave privada para obtener el mensaje en claro.
Una variacin de este sistema se produce cuando es el emisor A el que encripta un
texto con su clave privada, enviando por el medio inseguro tanto el mensaje en claro,
como el cifrado. As, cualquier receptor B del mismo, puede comprobar que el emisor
ha sido A y no otro que lo suplante, con tan solo desencriptar el texto cifrado con la
clave publica de A y comprobar que coincide con el texto sin cifrar. Como solo A
conoce su clave privada, B puede estar seguro de la autenticidad del emisor del
CARRERAS PROFESIONALES
CIBERTEC
39
Para que un algoritmo de clave pblica sea considerado seguro debe cumplir con los
siguientes requerimientos:
1.
2.
3.
4.
La principal ventaja de los sistemas de clave publica frente a los simtricos es que la
clave pblica y el algoritmo de cifrado son o pueden ser de dominio pblico y no es
necesario poner en peligro la clave privada en trnsito por los medios inseguros, ya
que esta est siempre oculta y en poder nicamente de su propietario. Como
desventaja, los sistemas de clave pblica dificultan la implementacin del sistema y
son mucho ms lentos que los simtricos. Generalmente, y debido a la lentitud de
proceso de los sistemas de llave pblica, estos se utilizan para el envi seguro de
claves simtricas, mientras que estas ltimas se usan para el envi general de los
datos encriptados. El primer sistema de clave publica que apareci fue el de DiffieHellman, en 1976 y fue la base para el desarrollo de los que despus aparecieron,
entre los que cabe destacar el RSA (el ms utilizado en la actualidad). Los principales
sistemas criptogrficos, tanto de clave simtrica como publica, los veremos con ms
detenimiento ms adelante.
2.1.5. Criptoanlisis.
El criptoanlisis consiste en comprometer la seguridad de un criptosistema. Esto se
puede hacer descifrando un mensaje sin conocer la llave o bien obteniendo a partir de
uno o ms criptogramas, la clave que ha sido empleada en su codificacin. No se
considera criptoanlisis el descubrimiento de un algoritmo secreto de cifrado; hemos
de suponer por el contrario, que los algoritmos siempre son conocidos.
En general el criptoanlisis se suele llevar a cabo estudiando grandes cantidades de
pares de mensaje-criptograma generados con la misma clave. El mecanismo que se
emplee para obtenerlos es indiferente y puede ser resultado de escuchar un canal de
comunicaciones o de la posibilidad de que el objeto de nuestro ataque responda con
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
40
CARRERAS PROFESIONALES
CIBERTEC
41
Resumen
La criptografa es el arte de escribir con clave secreta.
Los primeros cifrados son: La esctala, polybios, y el cifrado del Csar.
Los cifrados modernos se logran gracias a la velocidad de clculo y avances
matemticos.
La criptografa moderna se puede clasificar en 2 tipos: simtrica y asimtrica.
Los cifrados simtricos ms populares son: DES, 3DES, IDEA y AES.
El cifrado asimtrico es conocido tambin como el sistema de llave pblica.
El criptoanlisis consiste en descifrar un mensaje sin conocer la llave o
obtenindolo a partir de uno o ms criptogramas.
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
42
CARRERAS PROFESIONALES
CIBERTEC
43
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
44
B. 3DES
El triple DES (3DES) se estandarizo, inicialmente, para aplicaciones financieras en el
estndar ANSI X9.17 en 1985. El 3DES se incorpor como parte del DES en 1999,
con la publicacin de FIPS PUB 463. El 3DES usa tres claves y tres ejecuciones del
algoritmo DES. La funcin sigue la secuencia cifrar-descifrar-cifrar (EDE: encrypt
decrypt encrypt)
C = EK3 [ DK2 [EK1 [P]]]
Donde:
C = texto cifrado
P = texto claro
EK [X] = cifrado de X usando la clave K
DK [Y] = descifrado de Y usando la clave K
P = DK1 [ EK2 [DK3 [C]]]
CARRERAS PROFESIONALES
CIBERTEC
45
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
46
CARRERAS PROFESIONALES
CIBERTEC
47
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
48
Sustitucin de bytes: se usa una tabla, denominada caja S4, para realizar una
sustitucin byte a byte del bloque.
columna en
Suma de la clave de etapa: una simple operacin XOR bit a bit del bloque actual con
una porcin de la clave expandida.
CARRERAS PROFESIONALES
CIBERTEC
49
D. IDEA
El IDEA usa una clave de 128 bits. Difiere notablemente del DES en la funcin de
etapa; as como, en la funcin de generacin de subclaves. Para la funcin de etapa el
IDEA no usa cajas S, sino que cuenta con tres operaciones matemticas diferentes:
XOR, suma binaria de enteros de 16 bits y multiplicacin binaria de enteros de 16 bits.
Esas funciones se combinan, de tal forma que producen una transformacin compleja
muy difcil de analizar y por ende, muy difcil para el criptoanlisis. El algoritmo de
generacin de subclaves se basa solamente en el uso de desplazamientos circulares,
pero ejecutados de manera compleja para generar un total de seis subclaves para
cada una de las ocho etapas del IDEA. Debido a que el IDEA fue uno de los primeros
algoritmos de 128 bits de los propuestos para remplazar al DES, ha sido sometido a
considerables exmenes y por ahora, parece ser muy resistente al criptoanlisis. El
IDEA se usa como una alternativa en PGP (Pretty Good Privacy) y tambin en una
serie de productos comerciales.
Otros cifradores de bloque simtricos
En vez de reinventar de nuevo la rueda, casi todos los algoritmos de cifrado de bloque
simtricos actuales utilizan la estructura bsica de bloque de Feistel. Esto se debe a
que dicha estructura se comprende muy bien y resulta ms fcil determinar la robustez
criptogrfica de un algoritmo nuevo. Si se usara una estructura totalmente nueva,
podra tener alguna debilidad sutil no detectada inmediatamente por el diseador. En
la tabla siguiente se comparan algunas de las principales caractersticas.
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
50
Resumen
Las llaves simtricas son una clase de algoritmos para criptografa, que se
emplean para la encriptacin y la desencriptacin.
La Electronic Frontier Foundation anunci en 1998 que haba roto el cifrado DES.
3DES mejora el cifrado, pero genera ms lentitud para el cifrado y descifrado.
IDEA es un algoritmo simtrico que se caracteriza por Encriptar un mensaje,
generando un texto cifrado del mismo tamao que el original.
AES es un bloque cifrado adoptado como una encriptacin estndar por el
gobierno americano.
La desventaja de un algoritmo simtrico es que comparte la clave.
CARRERAS PROFESIONALES
CIBERTEC
51
Se inventaron con el fin de evitar por completo el problema del intercambio de claves
de los sistemas de cifrado simtricos. Con las claves pblicas no es necesario que el
remitente y el destinatario se pongan de acuerdo en la clave a emplear. Todo lo que se
requiere es que, antes de iniciar la comunicacin secreta, el remitente consiga una
copia de la clave pblica del destinatario. Es ms, esa misma clave pblica puede ser
usada por cualquiera que desee comunicarse con su propietario. Por tanto, se
necesitarn solo n pares de claves por cada n personas que deseen comunicarse
entre s.
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
52
CARRERAS PROFESIONALES
CIBERTEC
53
calidad, ha sido uno de los ms populares. Otros incluyen el cryptosystem de CramerShoup y varias tcnicas RSA se pueden tambin utilizar para las firmas digitales y
algunos esquemas tales como DSA y firmas de El Gamal fueron diseados
especialmente para las firmas.
El sistema criptogrfico con clave pblica RSA es un algoritmo asimtrico cifrador de
bloques, que utiliza una clave pblica, la cual se distribuye (en forma autenticada
preferentemente) y otra privada, la cual es guardada en secreto por su propietario.
RSA: este algoritmo es ampliamente usado en el comercio electrnico, ya que es
completamente seguro. Una clave es un nmero de gran tamao, que una persona
puede conceptualizar como un mensaje digital, como un archivo binario o como una
cadena de bits o bytes.
Los mensajes enviados usando el algoritmo RSA se representan mediante nmeros y
el funcionamiento se basa en el producto de dos nmeros primos grandes (mayores
que 10100) elegidos al azar para conformar la clave de descifrado. La seguridad de
este algoritmo radica en que no hay maneras rpidas conocidas de factorizar un
nmero grande en sus factores primos, utilizando computadoras tradicionales. La
computacin cuntica podra proveer una solucin a este problema de factorizacin.
Modo de Operacin
Supongamos que Alicia y Bob estn comunicndose a travs de un medio de
transmisin inseguro (abierto) y Alicia quiere enviar un mensaje privado a Bob
(seguro). Usando RSA, Alicia tomar los siguientes pasos para la generacin de la
clave pblica y privada:
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
54
CARRERAS PROFESIONALES
CIBERTEC
55
Bob ahora tiene m y conoce n y e, mientras Alicia fue avisada. El entonces, calcula el
texto cifrado c correspondiente a m. Esto puede ser rpido usando el mtodo de
exponentiation by squaring (llamado tambin exponenciacin binaria). Bob transmite c
a Alicia.
El descifrado del mensaje se realiza de la siguiente manera:
Alicia recibe c de Bob, y conoce su clave privada d. Ella puede recuperar m de c por el
siguiente procedimiento:
Firmas digitales
Un mensaje firmado con la clave privada del remitente puede ser verificado por
cualquier persona que tenga acceso a la clave pblica del remitente, lo que
demuestra que el remitente tena acceso a la clave privada (y por lo tanto, es
probable que sea la persona asociada con la clave pblica utilizada) y la parte del
mensaje que no se ha manipulado. Sobre la cuestin de la autenticidad.
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
56
Una analoga con el cifrado de clave pblica es la de un buzn con una ranura de
correo. La ranura de correo est expuesta y accesible al pblico; su ubicacin (la
direccin de la calle) es, en esencia, la clave pblica. Alguien que conozca la
direccin de la calle puede ir a la puerta y colocar un mensaje escrito a travs de
la ranura; sin embargo, slo la persona que posee la clave puede abrir el buzn
de correo y leer el mensaje.
Una analoga para firmas digitales es el sellado de un envolvente con un personal,
sello de cera. El mensaje puede ser abierto por cualquier persona, pero la
presencia del sello autentifica al remitente.
Un problema central para el uso de la criptografa de clave pblica es de confianza
(idealmente prueba) que una clave pblica es correcta, pertenece a la persona o
entidad que afirm (es decir, es autntico) y no ha sido manipulado o
reemplazados por un tercero malintencionado. El enfoque habitual a este
problema consiste en utilizar una infraestructura de clave pblica (PKI), en la que
una o ms terceras partes, conocidas como entidades emisoras de certificados,
certifican la propiedad de los pares de claves. Otro enfoque, utilizado por PGP, es
la " web de confianza ", mtodo para asegurar la autenticidad de pares de clave.
Resumen
Las llaves asimtricas son una clase de algoritmos para criptografa, que se
emplean para la encriptacin y la desencriptacin.
La llave privada esta matemticamente relacionada con la llave pblica.
La informacin encriptada con la llave privada puede ser desencriptada con la llave
pblica.
RSA fue el primer algoritmo de llave pblica.
Un mensaje cifrado con la clave pblica de un destinatario no puede ser
descifrado por nadie, excepto un poseedor de la clave privada.
Un mensaje firmado con la clave privada del remitente puede ser verificado por
cualquier persona que tenga acceso a la clave pblica del remitente.
CARRERAS PROFESIONALES
CIBERTEC
57
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
58
CARRERAS PROFESIONALES
CIBERTEC
59
Resumen
La criptografa hibrida est compuesta por el uso de llaves asimtricas y
simtricas.
En la criptografa hibrida se cifra el mensaje con las llaves simtricas y se usa las
llaves asimtricas para comprobar la autenticidad de la persona que enva y
recepciona el mensaje.
LA autenticidad de la persona, que enva y recepciona el mensaje, se realiza a
travs de firmas digitales.
PGP es un software que permite el intercambio de informacin por medio de correo
electrnico.
OpenPGP es un software libre que permite el cifrado de datos y firmas digitales.
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
CARRERAS PROFESIONALES
60
CIBERTEC
61
UNIDAD
3
INFRAESTRUCTURA PKI
LOGRO DE LA UNIDAD DE APRENDIZAJE
Al trmino de la unidad, el alumno propone las mejores soluciones para brindar
seguridad usando la infraestructura de llave pblica.
TEMARIO
3.1 Tema 8
3.1.1.
3.1.2.
3.1.3.
3.1.4.
3.2 Tema 9
3.2.1.
3.2.2.
3.2.3.
3.2.4.
:
:
:
:
:
:
:
:
PKI
Introduccin a PKI.
Componentes de la infraestructura PKI.
Jerarquas de Certificacin.
Administracin de Certificados y Claves.
Certificados y Firmas Digitales.
Introduccin a los Certificados Digitales.
Funcionamiento de las Firmas Electrnicas.
Estndar y Formato del Certificado Digital.
Tipos de Certificados y Normativa de los Certificados y
Firmas Digitales.
ACTIVIDADES PROPUESTAS
Los alumnos de acuerdo al esquema de red disean soluciones que se adecua a su red
usando la infraestructura PKI.
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
CARRERAS PROFESIONALES
62
CIBERTEC
63
3.1 PKI
PKI es un conjunto de servicios de seguridad que permite el uso y administracin de
encriptacin de clave pblica y certificados, incluyendo el manejo de claves
(actualizacin, recuperacin y custodia), certificados (generacin y revocado) y
polticas en un entorno de computacin distribuida. Estos servicios se tornan da a da
mas importantes como herramientas de autenticacin, autorizacin, encriptacin y
manejo de claves para firma digital en una amplia gama de aplicaciones sobre Internet
e intranets, que van desde mensajera segura hasta comercio electrnico. La
generalizacin de estas aplicaciones hace cada vez ms necesario en las
organizaciones la implementacin de una PKI para establecer y mantener un entorno
de red confiable. Para ello, tan o ms importante que el conocimiento y la aplicacin
de los estndares, es el conocimiento conceptual en torno a las siguientes tres
cuestiones:
Jerarquas de certificacin
Manejo de certificados y claves
Escalabilidad
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
64
CARRERAS PROFESIONALES
CIBERTEC
65
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
66
CARRERAS PROFESIONALES
CIBERTEC
67
Generacin de certificados
Revocacin de certificados
Creacin y mantenimiento de CRL (Listas de revocacin de certificados)
Creacin y administracin de las relaciones de confianza entre CAs.
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
68
Generacin de claves
Backup de claves
Recuperacin de claves
Actualizacin de claves
A. Generacin de claves
La clave o par de claves son generadas por su propietario o por las entidades que las
necesitan y luego son certificadas por la correspondiente CA. Algunos productos PKI,
integran la generacin y el manejo de servicios en la CA. La forma en que se
inicializan los clientes, es decir, como se hacen de sus claves, requiere mucho cuidado
en lo referido a la distribucin.
B. Backup y recuperacin de claves
En el caso en que se pierdan claves usadas para encriptar ciertos datos, si no existe
una copia de las mismas, automticamente provocara la perdida de esos datos.
Entonces, la necesidad de mantener copias de las claves en una organizacin que usa
sistemas PKI no se discute. En muchas organizaciones, la prctica aconsejable es que
no sea una sola persona la poseedora de claves crticas. Por otro lado, si en una
organizacin se utiliza firma electrnica para informacin relevante, los certificados
que validan esas firmas deben permanecer disponibles durante todo el tiempo que sea
necesario verificar las firmas utilizadas en dicha documentacin. Como mnimo, los
productos PKI destinados a una organizacin, deben ofrecer almacenamiento seguro
de claves, backup y recuperacin. Asimismo, deben ofrecer servicios tales como la
recuperacin de passwords en caso de olvido, recuperacin de claves y cambio de
passwords por parte del usuario sin intervencin del administrador, es decir, sin que
este tenga que tomar contacto con el par de claves.
Usualmente, los usuarios poseern dos pares de claves, uno para firma electrnica y
otro para encriptacin de datos. El par para firma electrnica no ser necesario
resguardarlo, ya que los documentos firmados con la clave privada podrn verificarse
sin problemas, dada la amplia disponibilidad de la clave pblica y su certificado. Pero
si es necesario que un sistema PKI mantenga a resguardo el par de claves de
encriptacin de datos.
CARRERAS PROFESIONALES
CIBERTEC
69
El tema que debern tener en cuenta las organizaciones que usarn PKI, es el ciclo de
vida que seguirn las claves usadas, el cual debe especificar el periodo de validez de
las claves y certificados y cuanto tiempo se conservaran copias de claves y
certificados revocados, ya que para poder implementar el servicio de imposibilidad de
rechazo, es necesario que el certificado para validar la firma est disponible. Esto
deriva en tener que considerar cuestiones de almacenamiento por largos periodos
para ciertas implementaciones PK. Para aplicaciones criticas o ms sensibles, se han
desarrollado tcnicas de backup mas elaboradas. Ellas son custodia de claves (Key
scrow) y tercera parte de confianza (trusted third-party). En la primera de ellas
(custodia de claves), es el usuario u organizacin quien genera sus claves y las
entrega a otra parte para su resguardo. Una variante, es fragmentar las claves y
entregar los fragmentos a custodios diferentes. En la segunda de ellas (tercera parte
de confianza), es una tercera parte la que genera la clave correspondiente a pedido
del usuario, la distribuye a los receptores correctos y almacena una copia para s
misma. La seguridad de la clave queda de nuevo en otras manos diferentes a las de
los usuarios. Muchas discusiones se generaron en torno a este tema a partir del
proyecto Capstone del Gov. Fed. de los EE.UU., que propone, a partir del hecho, que
el gobierno sea el ente de custodia y que pueda decidir, por mandato judicial, levantar
protecciones criptogrficas para determinados casos. Esto no ser discutido en este
artculo. Lo importante es reconocer que solo para determinados casos, es necesario
el empleo de estas tcnicas.
C. Actualizacin de claves
La actualizacin de claves es algo altamente problemtico. En este, como en otros
casos, las organizaciones basan lo concerniente a seguridad en general y ahora a PKI
particularmente, en polticas corporativas. Estas polticas pueden establecer que todos
los usuarios, por ejemplo, deben obtener nuevos pares de claves una vez al ao como
medida tendiente a intensificar la seguridad; y quizs, para aplicaciones criticas, sea
necesario considerar periodos ms cortos. La implementacin de estas polticas
requerira que el administrador actualice los pares de claves, lo cual es mucho trabajo.
Si esto ocurriera en una organizacin grande y todas las claves expiraran el mismo
da, sera un cuadro bastante catico. Si a esto agregamos el hecho que para las
nuevas claves deben generarse nuevos certificados, el problema se agudiza aun ms.
El sistema PKI que se implemente, debe manejar la actualizacin de claves de manera
automtica y transparente para el usuario, e incluso mantener un histrico de claves
para ser empleado en caso de, por ejemplo, tener que usar un archivo encriptado con
una clave ya vencida.
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
70
Resumen
La criptografa hibrida est compuesta por el uso de llaves asimtricas y
simtricas.
En la criptografa hibrida se cifra el mensaje con las llaves simtricas y se usa las
llaves asimtricas para comprobar la autenticidad de la persona que enva y
recepciona el mensaje.
LA autenticidad de la persona que enva y recepciona el mensaje se realiza a
travs de firmas digitales.
CARRERAS PROFESIONALES
CIBERTEC
71
Blanca quiere poder mandar mensajes a No y que este sepa que ella es
ciertamente la emisora del mismo. Para ello, consigue un certificado de una
Autoridad Certificadora. Es decir, la Autoridad Certificadora va a entregar a Blanca
un Certificado digital personalizado que le va a permitir identificarse ante terceros.
Dicho certificado debe guardarlo en un lugar seguro, es el similar al Documento
Nacional de Identidad.
Blanca genera su mensaje envindolo a No junto con la copia pblica de su
certificado.
No recibe el mensaje de Blanca junto con su certificado, quien considera
autentificado el autor, tras comprobar que viene acompaado por una Autoridad
Certificadora reconocida por l.
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
72
del emisor, del resumen de los datos, que sern transferidos junto con el mensaje. Por
tanto los pasos del protocolo de firma digital son:
1.
2.
3.
4.
CARRERAS PROFESIONALES
CIBERTEC
73
3.
4.
5.
6.
Blanca (receptor) recibe el correo electrnico que contiene todos los elementos
mencionados anteriormente.
Blanca, en primer lugar descifra el certificado digital de ngel, incluido en el correo
electrnico, utilizando para ello la clave publica del Prestador de Servicios de
Certificacin que ha expedido dicho certificado. Esa clave pblica la tomara
Blanca, por ejemplo, de la pgina Web del Prestador de Servicios de Certificacin
en la que existir depositada dicha clave pblica a disposicin de todos los
interesados.
Una vez descifrado el certificado, Blanca podr acceder a la clave publica de
ngel, que era uno de los elementos contenidos en dicho certificado. Adems
podr saber a quin corresponde dicha clave pblica, dado que los datos
personales del titular de la clave (ngel) constan tambin en el certificado.
Blanca utilizara la clave pblica del emisor (ngel) obtenida del certificado digital
para descifrar el hash o mensaje-resumen creado por ngel.
Blanca aplicar al cuerpo del mensaje, que aparece en claro o no cifrado, que
tambin figura en el correo electrnico recibido, la misma funcin hash que utilizo
ngel con anterioridad, obteniendo igualmente Blanca un mensaje-resumen. Si el
cuerpo del mensaje tambin ha sido cifrado para garantizar la confidencialidad del
mismo, previamente Blanca deber descifrarlo utilizando para ello su propia clave
privada (recordemos que el cuerpo del mensaje haba sido cifrado con la clave
publica de Blanca)
Blanca comparara el mensaje-resumen o hash recibido de ngel con el mensajeresumen o hash obtenido por ella misma. Si ambos mensajes-resumen o hash
coinciden totalmente significa lo siguiente:
El mensaje no ha sufrido alteracin durante su transmisin, es decir, es
integro o autntico.
El mensaje-resumen descifrado por Blanca con la clave publica de ngel, ha
sido necesariamente cifrado con la clave privada de ngel y, por tanto,
proviene necesariamente de ngel.
Como el certificado digital nos dice quien es ngel, podemos concluir que el
mensaje ha sido firmado digitalmente por ngel, siendo ste una persona con
identidad determinada y conocida.
Por el contrario, si los mensajes-resumen no coinciden, quiere decir que el
mensaje ha sido alterado por un tercero durante el proceso de transmisin, y si el
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
74
Finalmente, hay que tener en cuenta que las distintas fases del proceso de firma y
verificacin de una firma digital que han sido descritas no se producen de manera
manual, sino automtica e instantnea, por el simple hecho de introducir la
correspondiente tarjeta magntica en el lector de tarjetas de nuestro ordenador y
activar el procedimiento.
C. Certificados digitales
A la vista de este esquema de funcionamiento de las firmas digitales, se plantea un
problema evidente de confianza que puede originar varios interrogantes:
CARRERAS PROFESIONALES
CIBERTEC
75
Los datos de verificacin de firma (es decir la clave publica) que se corresponde
con los datos de creacin de firma que se encuentran bajo el control del signatario
(o lo que es lo mismo, su clave privada), de manera que se produce la vinculacin
exclusiva del interesado con las claves.
El comienzo y el fin del periodo de validez del certificado, fuera de los cuales no
podr utilizarse.
Los limites de uso del certificado, si se anticipa, como por ejemplo comprar a
travs de Internet accesos a bancos, exclusin de ciertos contactos como
prstamos y fianzas identificacin ante servidores en una red local, etc.
Los limites del valor de las transacciones para las que puede utilizarse el
certificado, si se establecen. De esta forma se controla que con un certificado
determinado no puedan efectuarse compras por importes superiores a un valor
especificado en el mismo.
En definitiva, un certificado digital no es ms que una lista de bits que contiene una
clave pblica y un conjunto de atributos, todo ello firmado por una autoridad de
certificacin.
Sirvindose de estos certificados, sus titulares podrn realizar una gran cantidad de
acciones en todo tipo de redes.
Acceder por medio de su navegador a sitios Web restringidos, a los cuales les
deber presentar previamente el certificado, cuyos datos sern verificados y en
funcin de los mismos se le permitir o denegara el acceso.
Enviar y escribir correo electrnico cifrado y firmado.
Entrar en Intranets corporativas, e incluso a los edificios o instalaciones de la
empresa, donde se le pedir que presente su certificado, posiblemente
almacenado en una tarjeta inteligente.
Firmar software para su uso en Internet, como applets Java o controles Active X
de Microsoft, de manera que puedan realizar acciones en el navegador del
usuario que de otro modo le serian negadas.
Firmar cualquier tipo de documento digital, para uso privado o pblico.
Ofrecer confidencialidad en procesos administrativos o consultas de informacin
sensible en servidores de la Administracin.
Realizar transacciones comerciales seguras con identificacin de las partes, como
en SSL, donde se autentifica el servidor Web.
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
76
CARRERAS PROFESIONALES
CIBERTEC
77
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
78
B. Certificados personales
Sirven para validar la identidad de los individuos en sus operaciones a travs de
Internet. Los hay de dos tipos:
3.2.5.Normativas
A. Normativa Europea
La Directiva 93/1999 ha establecido un marco comn aplicable a todos los pases de la
Unin Europea, por el que el nivel de exigencia que supone la normativa firma
electrnica que implica que los Prestadores de Servicios de Certificacin que emiten
certificados cualificados son merecedores de confianza por cualquier tercero que
confa y sus certificados, otorgan a la firma electrnica avanzada a la que acompaan
el mismo valor que tiene la "firma manuscrita" o "firma olgrafa".
B. Normativa Espaola
La Ley 59/2003 de Firma Electrnica ha derogado el Real Decreto Ley 14/1999 de 17
de septiembre, sobre firma electrnica; haciendo ms efectiva la actividad de
CARRERAS PROFESIONALES
CIBERTEC
79
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
CARRERAS PROFESIONALES
80
CIBERTEC
81
Resumen
Un certificado digital no es ms que un conjunto de bits que contiene una clave
pblica y atributos, todo ello firmado por una autoridad de certificacin.
El certificado digital bajo SSL Server es el estndar de confianza en Internet, que
utiliza para autenticar su sitio Web o Intranet y cifrar el intercambio de informacin
con un usuario en lnea.
Las autoridades certificadoras permiten que los involucrados en la comunicacin
puedan confiar en la autenticidad de sus certificados.
El uso de las firmas electrnicas no slo se encarga del cifrado de texto, sino
tambin proporciona mecanismos para asegurar integridad de los participantes en
una transaccin.
Los formatos de archivo de certificado estndar ms populares PKCS #12, PKCS
#7 y PKCS#10.
PKCS #12 permite la transferencia de certificados y sus claves privadas de un
equipo a otro.
Los certificados personales para navegar en la web usan los canales SSL.
Los certificados personales de correo electrnico son usados por el estndar
S/MIME.
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
CARRERAS PROFESIONALES
82
CIBERTEC
83
UNIDAD
4
PROTOCOLO DE
AUTENTICACIN KERBEROS
LOGRO DE LA UNIDAD DE APRENDIZAJE
Al trmino de la unidad, el alumno conoce la historia, funcionamiento, caractersticas
del protocolo de autenticacin Kerberos.
.
TEMARIO
4.1 Tema 10
4.1.1.
4.1.2.
4.1.3.
4.1.4.
:
:
:
:
:
ACTIVIDADES PROPUESTAS
Los alumnos mediantes ejemplos analizan las caractersticas del protocolo Kerberos.
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
CARRERAS PROFESIONALES
84
CIBERTEC
85
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
86
Windows 2000, Windows XP y Windows Server 2003 usan una variante de Kerberos
como su mtodo de autenticacin por defecto. Algunos agregados de Microsoft al
conjunto de protocolos de Kerberos estn documentados en la RFC 3244 "Microsoft
Windows 2000 Kerberos Change Password and Set Password Protocols" (Protocolos
de cambio y establecimiento de clave de tipo Kerberos en Microsoft Windows 2000).
Mac OS X de Apple tambin usa Kerberos, tanto en sus versiones de cliente y de
servidor.
Hasta el ao 2005, el grupo de trabajo de Kerberos de la IETF se encuentra
actualizando las especificaciones. Actualizaciones recientes incluyen:
CARRERAS PROFESIONALES
CIBERTEC
87
El password del usuario genera (con un proceso matemtico) una clave para
encriptar el mensaje 1. El AS posee la misma clave y con ella comprueba la
autenticidad del usuario.
El TICKET TGS esta encriptado con una clave conocida solamente por el TGS y
el AS. Por lo tanto, el usuario no puede generar ni modificar un ticket de este tipo.
Una clave de sesin generada aleatoriamente para las transmisiones entre TGS y
usuario. Se le enva al usuario una clave encriptada con su password y al TGS
dentro del TICKET TGS. Ninguna de las partes la puede modificar.
El resultado final es el Ticket para el usuario, que no se puede modificar y tiene una
fecha de caducidad, y posteriormente, el TGS lo reconocer como autentico. Tambin
se recibe la clave de sesin a utilizar con el TGS. Si alguien captura el Ticket en la
lnea, no lo puede utilizar con el TGS, ya que no conoce su clave de sesin, esta viene
para el usuario encriptada con el password. Al acabar esta fase se destruye el
password de usuario. El TICKET TGS se puede utilizar para pedir autorizacin a varios
servicios, mientras no caduque, sin necesidad de volver a acceder al AS, ni introducir
el password.
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
88
B. Autenticacin de servicios
El usuario pide al TGS el TICKET SERVICIO X para autenticarse delante del servicio
X, tambin para comprobar la identidad de ste. Este proceso se realiza tantas veces
como servicios distintos quiera utilizar el usuario, pero nunca vuelve a introducir el
password.
La seguridad se basa en las siguientes claves simtricas:
El TICKET SERVICIO X esta encriptado con una clave conocida por el servicio X
y el TGS.
Una clave de sesin para utilizar en las comunicaciones entre el servicio y el
usuario. La conoce el usuario porque llega encriptada con la clave de sesin
actual y el servicio, porque est en el Ticket. Ninguna de las partes la puede
modificar.
El resultado es la obtencin del TICKET SERVICO X y una clave para la sesin con el
servicio. Si alguien captura el Ticket en la lnea no lo puede utilizar, ya que desconoce
la clave de sesin.
El servicio se identifica utilizando la clave de sesin. Si es falso no podr desencriptar
el Ticket y, por lo tanto, no tendr la clave de sesin.
CARRERAS PROFESIONALES
CIBERTEC
89
Resumen
Kerberos es un protocolo de autenticacin, diseado para las aplicaciones
Cliente/Servidor, empleando criptografa de llave secreta.
Kerberos se basa en criptografa de clave simtrica y requiere un tercero de
confianza.
Kerberos permite que la contrasea del usuario no sea expuesta al acceder a los
servicios de la red.
Kerberos est basado en tres objetos: Clave de Sesin, Ticket y Autenticador.
El MIT desarroll Kerberos para proteger los servicios de red proporcionados por el
proyecto Athena.
Kerberos es el nombre del perro de tres cabezas de la mitologa griega.
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
CARRERAS PROFESIONALES
90
CIBERTEC
91
UNIDAD
5
TECNOLOGAS Y PROTOCOLOS
DE SEGURIDAD
LOGRO DE LA UNIDAD DE APRENDIZAJE
Al finalizar la unidad, el alumno, describe las caractersticas de funcionamiento de un
firewall, as como las tcnicas que permiten configurar una red perimetral segura.
TEMARIO
5.1 Tema 11
5.1.1.
5.1.2.
5.1.3.
5.1.4.
5.2 Tema 12
5.2.1.
:
:
:
:
5.2.2.
5.2.3.
5.2.4.
5.2.4.
:
:
:
:
:
:
Firewall
Introduccin al Firewall
Tipos de Firewall.
Topologas de Firewalls.
Configuracin del Firewall.
Tecnologas y Protocolos de Seguridad
Aspectos de Seguridad de los Protocoles IP v6, SSL, TLS,
S/Mime y IPSec.
Introduccin a los Sistemas de Deteccin de Intrusos (IDS)
Sistema de Prevencin de Intrusos
Infraestructura de Servidores VPN
Protocolos de Seguridad de las conexiones inalmbricas
(WEP, WPA y WPA2)
ACTIVIDADES PROPUESTAS
Los alumnos mediantes ejemplos disean un sistema controlado por Firewall y mediante
ejemplos analizan la seguridad de diferentes tipos protocolos.
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
CARRERAS PROFESIONALES
92
CIBERTEC
93
5.1. FIREWALL
5.1.1. Introduccin al Firewall
Los firewalls son dispositivos que controlan el trfico de una organizacin. Aparecieron
con el objetivo de aislar a las redes y controlar el trfico que ingresa y sale de la
organizacin. Esta funcin inicialmente la realizaba en ruteador, pero al incrementarse
el trfico, el ruteador dejo de ser eficiente en esta funcin y se prefiri dejarla a otro
equipo: El firewall. Los Firewalls son dispositivos y sistemas de hardware y software
que controlan el trfico entrante y saliente del punto en donde son instalados. De esta
manera, controlan el trfico que va desde el interior de la organizacin (red privada)
hacia Internet u otra red (red exterior o pblica). Son equipos que trabajan,
principalmente, a nivel de red, es decir, la capa 3 TCP/IP, pero su campo de accin se
extiende hasta el nivel de aplicacin segn el tipo de firewall empleado.
Filtro de paquetes.
Nivel de aplicacin.
Inspeccin de paquetes.
Filtro de paquetes dinmicos.
Proxy.
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
94
CARRERAS PROFESIONALES
CIBERTEC
95
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
96
CARRERAS PROFESIONALES
CIBERTEC
97
Es importante conocer en este punto el tema del NAT (Network Address Translation).
NAT es un concepto importante en redes, en especial con firewalls. Como una medida
de seguridad, el administrador de red debe evitar que los atacantes y visitantes
externos no sepan cual es el rango de direcciones internas con las que trabaja. IANA
(Internet Assigned Numbers Authority) ha reservado los siguientes tres bloques de
espacio de direcciones para redes privadas 10.0.0.0/8, 176.16.0.0/16 y
192.168.0.0/16. NAT es una herramienta que permite enmascarar direcciones IP
internas con direcciones IP externas. NAT convierte una direccin IP privada en una
direccin IP pblicas. Existen dos mtodos de NAT: Esttico y dinmico.
NAT Esttico. Definido con la relacin de 1 a 1 entre una direccin IP pblica con
una direccin privada.
NAT Dinmico. Definido con la relacin de 1 a varios entre una direccin IP
pblica y varias direcciones IP privadas. Se conoce tambin como PAT (Port
Address Traslation), ya que la traslacin se realiza a travs de puertos de
servicios.
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
98
Ahora hay dos redes distintas que comparten un ordenador. El ordenador que acta
de cortafuegos, al que de ahora en adelante llamaremos "cortafuegos", puede
comunicarse tanto con la red protegida, como con la Internet. La red protegida no
puede comunicarse con la Internet y la Internet no puede comunicarse con la red
protegida, dado que se ha deshabilitado el reenvi IP en el nico ordenador que las
conecta. Si se quiere llegar a la Internet desde la red protegida, hay que hacer primero
un telnet al firewall, y acceder a la Internet desde el. Del mismo modo, para acceder a
la red protegida desde la Internet, se debe, antes, pasar por el firewall. Este es un
mecanismo de seguridad excelente contra ataques desde la Internet. Si alguien quiere
atacar la red protegida, primero tiene que atravesar el firewall. De esta manera el
ataque se divide en dos pasos y por lo tanto, se dificulta. Si alguien quiere atacar la
red protegida por mtodos ms comunes, como el bombardeo de emails, o el nefasto
"Gusano de Internet", simplemente no podr alcanzarla. Con esto se consigue una
proteccin excelente.
Un firewall puede proteger una red de diversas formas. Puede proporcionar servicios
de encubrimiento que nieguen o garanticen los accesos basados en: el nombre del
usuario, el nombre del host, y el protocolo TCP/IP, etc. Un cortafuegos puede
CARRERAS PROFESIONALES
CIBERTEC
99
suministrar tambin una variedad de servicios que dejen paso a los usuarios
autorizados (si se implementa un PROXY) mientras excluyen a los no autorizados. Al
mismo tiempo, asegura que todas las comunicaciones entre la red e Internet dan la
impresin de finalizar en el cortafuegos, si se usa NAT (Network Address Translation),
evitando que el mundo externo pueda vislumbrar, en modo alguno, la estructura de la
red.
Configuracin del Firewall con DMZ
Una DMZ (Demilitarized zone) o Zona Desmilitarizada. En seguridad informtica, una
zona desmilitarizada (DMZ) o red perimetral es una red local (una subred) que se
ubica entre la red interna de una organizacin y una red externa, generalmente
Internet. El objetivo de una DMZ es que las conexiones, desde la red interna y la
externa a la DMZ, estn permitidas; mientras que las conexiones desde la DMZ solo
se permitan a la red externa -- los equipos (hosts) en la DMZ no pueden conectar con
la red interna. Esto permite que los equipos (hosts) de la DMZ's puedan dar servicios a
la red externa, a la vez que protegen la red interna en el caso de que intrusos
comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada.
Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la
zona desmilitarizada se convierte en un callejn sin salida. La DMZ se usa
habitualmente para ubicar servidores, que es necesario que sean accedidos desde
fuera, como servidores de e-mail, Web y DNS. Las conexiones que se realizan desde
la red externa hacia la DMZ se controlan, generalmente, utilizando Port Address
Translation (PAT). Una DMZ se crea a menudo a travs de las opciones de
configuracin del cortafuegos, donde cada red se conecta a un puerto distinto de esta
configuracin se llama cortafuegos de tres vas o canales (three-legged firewall). Un
planteamiento ms seguro es usar dos cortafuegos, donde la DMZ se sita en medio y
se conecta a ambos cortafuegos, uno conectado a la red interna y el otro a la red
externa. Esta configuracin ayuda a prevenir configuraciones errneas accidentales
que permitan el acceso desde la red externa a la interna. Este tipo de configuracin
tambin es llamado cortafuegos de subred monitoreada (screened-subnet firewall).
El termino zona desmilitarizada es tomado de la franja de terreno neutral que separa a
ambas Coreas, y que es una reminiscencia de la Guerra de Corea, aun vigente y en
tregua desde 1953. Paradjicamente, a pesar de que esta zona desmilitarizada es
terreno neutral, es una de las ms peligrosas del planeta, y por ello da nombre al
sistema DMZ.
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
100
Resumen
Los firewall de hardware se utilizan en grandes empresas o corporaciones.
La DMZ o Zona desmilitarizada. En seguridad informtica es una red local que se
ubica entre la red interna de una organizacin y una red externa.
El filtro de paquetes por ruteadores es el ms antiguo y el ms utilizado; se coloca
entre la red privada y la pblica.
Screened Host emplea el filtrado de paquetes y el bastin host (Proxy)
NAT esttico redirecciona el trfico de la IP Publica a una IP Privada y el NAT
Dinmico lo redirecciona a varias IPs Privadas.
CARRERAS PROFESIONALES
CIBERTEC
101
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
102
mtodo crea
esquema de
El encabezado del IPv6 est basado en el del IPv4 al cual se le agregaron campos y
se le quitaron algunos que casi no se usaban o eran redundantes.
Un encabezado del IPv4 tiene los siguientes campos y sus siguientes dimensiones:
CARRERAS PROFESIONALES
CIBERTEC
103
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
104
Hop by Hop option header. Lleva informacin que debe ser examinada y
procesada por cada nodo en la trayectoria del paquete, con la fuente y el destino
incluidos.
Routing Header. Utilizado por una fuente para listar uno o ms ruteadores que
sern visitados por el paquete en su camino al destino.
Fragment Header. Utilizado cuando la fragmentacin es requerida. En el IPv6 la
fragmentacin solo puede hacerse en la fuente de la informacin.
CARRERAS PROFESIONALES
CIBERTEC
105
Destination header. Utilizado para llevar informacin que necesita ser examinada
y procesada en el destino del paquete.
Authentication header y Encapsulated Security Payload header.
Estos encabezados no son examinados por cada nodo que toque el paquete en su
viaje, a excepcin del encabezado de Hop-by-Hop, el cual si debe de ser revisado. Las
especificaciones del IPv6 incluyen la descripcin de dos payloads de seguridad. El
IPv6 nos ofrece con estos nuevos encabezados (headers) opciones de seguridad con
las que no se contaba antes: integridad, autenticacin y confidencialidad. Estas son
aplicadas usando los nuevos encabezados, en particular el Authentication Header y el
Encapsulated Security Payload header. A continuacin se ven con ms detalle.
A. Autenticacin
La autenticacin est representada mediante un encabezado (header) opcional; la
autenticacin es un procedimiento mediante el cual el receptor del mensaje garantiza
que la direccin de origen es autentica y que el paquete no ha sido alterado durante la
transmisin. Esta operacin consiste en la adicin al datagrama del encabezado de
autenticacin (AH) y en la red, solo los nodos que se encuentran relacionados en la
comunicacin le pondrn atencin a este encabezado extra. Los otros nodos
simplemente lo ignorarn. Esto permite que los datagramas protegidos de esta
manera, puedan ser capaces de viajar por redes que no usan el IPv6. La presencia del
AH no cambia ni afecta el comportamiento de los protocolos de punto a punto como el
UDP o el ICMP. El AH cuida que no se cambie la informacin en nuestro paquete, esto
lo hace calculando los datos de autenticacin (AD) utilizando la informacin del
datagrama que no cambia desde el envi hasta su destino. La informacin que se
cambie es convertida a ceros. Para saber esto, la fuente del mensaje tiene que
preparar un envi especial del paquete, cuya informacin sea independiente de
transformaciones que puedan ocurrir en el transito. Despus, es concatenada una
clave al principio y al final del paquete y se aplica una funcin hash (MD2 o MD5 por
ejemplo) para procesar el mensaje, el resultado se llama datos de autenticacin y se
colocan dentro del AH. Cuando el nodo destino recibe el paquete, este revisa el AH y
verifica la validez del datagrama, este es aceptado slo si los datos de autenticacin
son correctos.
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
106
En esta modalidad, el encargado del envi, toma todo el datagrama de IP y una vez
que se determina la clave, el proceso de cifrado se realiza. Los datos cifrados son
encapsulados dentro del payload del nuevo datagrama y as se transporta a su
destino. El receptor deshecha el datagrama que envolva al texto cifrado y una vez que
la clave ha sido determinada descifra el payload. Cuando se utiliza el modo de tnel, el
verdadero encabezado del IP esta dentro del payload de IP y por lo tanto el intruso
solo es capaz de ver las terminales de la lnea asegurada. Si la lnea asegurada existe
entre dos firewalls, el observador solo puede ver que hay intercambio de informacin
entre las dos redes locales. Si este mtodo de tnel seguro es colocado entre dos
equipos de comunicacin entonces el observador es solamente capaz de identificar a
los comunicadores.
CARRERAS PROFESIONALES
CIBERTEC
107
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
108
Los aspectos de seguridad que da el IPv6 nos abren toda una gama de posibilidades
para tener una comunicacin ms segura.
Lneas aseguradas y firewalls. El ESP y el AH del IPv6 nos permite crear una
lnea segura entre dos firewalls distantes, por ejemplo entre dos unidades de una
misma organizacin.
Hosts mviles. Una manera de evitar los ataques especficos a computadoras
mviles es establecer un tnel seguro entre el equipo mvil y el firewall de la red.
Protocolos de ruteo. La integridad de la red no puede ser mantenida si los
protocolos de ruteo no son asegurados. Si los intrusos son capaces de acceder a
las actualizaciones de ruteadores, entonces sern capaces de desviar o
tergiversar la informacin.
Estacin de trabajo a estacin de trabajo. La conexin segura se establece entre
dos hosts que estn en LANs distintas e interconectadas por medio de un enlace
de firewall a firewall.
5.2.1.2.
Secure Socket Layer es el protocolo de seguridad de Internet para conexiones puntoa-punto. Desarrollado por Netscape, es utilizado por exploradores de Internet y
servidores de Red. Ofrece proteccin contra incursiones, forjado o el tampering.
Clientes y servidores son capaces de autentificarse uno al otro y establecer un enlace
seguro o tubera que atraviesa la Internet o una red local para que los datos sean
transferidos de manera segura. En nuestro explorador podemos ver si estamos
usando un protocolo de seguridad tal como TLS en diferentes maneras. Se puede
apreciar que la lnea de direccin es reemplazada con las inciales https y tambin
con un pequeo candado en la barra de estado en la parte de abajo del explorador. En
la figura se ve un ejemplo.
CARRERAS PROFESIONALES
CIBERTEC
109
El protocolo SSL es anlogo a una llamada telefnica en una lnea segura entre dos
computadoras en cualquier red incluyendo la Internet. En SSL, la conexin es
establecida, las partes autenticadas y la informacin transferida con seguridad. A la
ltima mejora de este protocolo se le llam TLS.
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
110
basta para asegurar la mayora de los sistemas. Los sistemas tales como el acceso a
una base de datos segura o sistemas remotos de objetos. Los bancos tambin pueden
emplear SSL para comunicarse con sucursales remotas empleando una fuerte
criptografa. Otra aplicacin de SSL es para crear acceso remoto a aplicaciones
administrativas.
5.2.1.3.
CARRERAS PROFESIONALES
CIBERTEC
111
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
112
CARRERAS PROFESIONALES
CIBERTEC
113
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
114
Tasa de falsas alarmas (false alarm rate o FAR): Tambin denominada tasa de
falsos positivos (FPR), representa la probabilidad de que el sistema alerte de un
ataque cuando ste no se ha producido:
Evidentemente, para que un IDS resulte til en un escenario real, interesa que la tasa
de deteccin sea lo mayor posible, cercana al 100%, mientras que la tasa de falsas
alarmas sea lo menor posible, cercana al 0%. Estos dos parmetros, DR y FAR, estn
ntimamente ligados entre s. Si el IDS se configura de manera que sea muy sensible a
los ataques, mayor ser la tasa de deteccin, pero en contrapartida tanto mayor ser
tambin el nmero de falsas alarmas. Si por el contrario se intenta ser ms permisivos,
de manera que no se produzcan falsas alarmas, habr muchos ataques que pasen
CARRERAS PROFESIONALES
CIBERTEC
115
HIDS (HostIDS): un IDS vigilando un nico ordenador y por tanto su interfaz corre
en modo no promiscuo. La ventaja es que la carga de procesado es mucho
menor.
NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el
segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando
as todo el trfico de la red.
DIDS (DistributedIDS): sistema basado en la arquitectura cliente-servidor
compuesto por una serie de NIDS (IDS de redes) que actan como sensores
centralizando la informacin de posibles ataques en una unidad central que puede
almacenar o recuperar los datos de una base de datos centralizada. La ventaja es
que en cada NIDS se puede fijar unas reglas de control especializndose para
cada segmento de red. Es la estructura habitual en redes privadas virtuales
(VPN).
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
116
CARRERAS PROFESIONALES
CIBERTEC
117
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
118
Definitivamente las VPNs han llegado para quedarse y usarn en forma natural
incluso sin saberlo. Pero es interesante destacar que salvo en contadas excepciones,
la seguridad no figura entre las motivaciones que potencian su utilizacin. Para que su
uso sea seguro en el tiempo, es necesaria una importante inversin, que no todas las
empresas y particulares estn dispuestos a realizar.
CARRERAS PROFESIONALES
CIBERTEC
119
VPN (Red Privada Virtual) punto a punto: Este esquema se utiliza para conectar
oficinas remotas con la sede central de organizacin. El servidor VPN, que posee
un vinculo permanente a Internet, acepta las conexiones va Internet provenientes
de los sitios y establece el tnel VPN. Los servidores de las sucursales se
conectan a Internet utilizando los servicios de su proveedor local de Internet,
tpicamente mediante conexiones de banda ancha. Esto permite eliminar los
costosos vnculos punto a punto tradicional, sobre todo en las comunicaciones
internacionales. Es ms comn el punto anterior, tambin llamada tecnologa de
tnel o tunneling.
VPN interna VLAN: Este esquema es el menos difundido, pero uno de los ms
poderosos para utilizar dentro de la empresa. Es una variante del tipo "acceso
remoto" pero, en vez de utilizar Internet como medio de conexin, emplea la
misma red de rea local (LAN) de la empresa. Sirve para aislar zonas y servicios
de la red interna. Esta capacidad lo hace muy conveniente para mejorar las
prestaciones de seguridad de las redes inalmbricas (WiFi).
Un ejemplo muy clsico es un servidor con informacin sensible, como las
nominas de sueldos, ubicado detrs de un equipo VPN, el cual provee
autenticacin adicional mas el agregado del cifrado, haciendo posible que solo el
personal de RRHH habilitado pueda acceder a la informacin.
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
120
CARRERAS PROFESIONALES
CIBERTEC
121
El SSID (Service Set IDentifier) es un cdigo incluido en todos los paquetes de una red
inalmbrica (Wi-Fi) para identificarlos como parte de esa red. El cdigo consiste en un
mximo de 32 caracteres alfanumricos. Todos los dispositivos inalmbricos que
intentan comunicarse entre s deben compartir el mismo SSID. Existen algunas
variantes principales del SSID. Las redes ad-hoc, que consisten en maquinas cliente
sin un punto de acceso, utilizan el BSSID (Basic Service Set Identifier); mientras que
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
122
2.
3.
4.
5.
CARRERAS PROFESIONALES
CIBERTEC
123
5.2.5.2 WPA
WPA (Wi-Fi Protected Access, acceso protegido Wi-Fi) es la respuesta de la
asociacin de empresas Wi-Fi a la seguridad que demandan los usuarios y que WEP
no puede proporcionar. El IEEE tiene casi terminados los trabajos de un nuevo
estndar para reemplazar a WEP, que se publicaran en la norma IEEE 802.11i a
mediados de 2004. Debido a la tardanza (WEP es de 1999 y las principales
vulnerabilidades de seguridad se encontraron en 2001), Wi-Fi decidi, en colaboracin
con el IEEE, tomar aquellas partes del futuro estndar que ya estaba suficientemente
maduro y publicar as WPA. WPA es, por tanto, un subconjunto de lo que ser IEEE
802.11i. WPA (2003) se est ofreciendo en los dispositivos actuales.
WPA soluciona todas las debilidades conocidas de WEP y se considera
suficientemente seguro. Puede ocurrir incluso que usuarios que utilizan WPA no vean
necesidad de cambiar a IEEE 802.11i cuando est disponible. Las principales
caractersticas de WPA son la distribucin dinmica de claves, utilizacin ms robusta
del vector de inicializacin (mejora de la confidencialidad) y nuevas tcnicas de
integridad y autentificacin. WPA incluye las siguientes tecnologas:
IEEE 802.1X. Estndar del IEEE de 2001 para proporcionar un control de acceso
en redes basadas en puertos. El concepto de puerto, en un principio pensado para
las ramas de un switch, tambin se puede aplicar a las distintas conexiones de un
punto de acceso con las estaciones. Las estaciones trataran entonces de
conectarse a un puerto del punto de acceso. El punto de acceso mantendr el
puerto bloqueado hasta que el usuario se autentifique. Con este fin se utiliza el
protocolo EAP y un servidor AAA (Authentication Authorization Accounting) como
puede ser RADIUS (Remote Authentication Dial-In User Service). Si la
autorizacin es positiva, entonces el punto de acceso abre el puerto. El servidor
RADIUS puede contener polticas para ese usuario concreto que podra aplicar el
punto de acceso (como priorizar ciertos trficos o descartar otros).
EAP. Definido en la RFC 2284, es el protocolo de autentificacin extensible para
llevar a cabo las tareas de autentificacin, autorizacin y contabilidad. EAP fue
diseado originalmente para el protocolo PPP (Point-to- Point Protocol), aunque
WPA lo utiliza entre la estacin y el servidor RADIUS. Esta forma de
encapsulacin de EAP est definida en el estndar 802.1X bajo el nombre de
EAPOL (EAP over LAN).
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
124
Con servidor AAA, RADIUS normalmente. Este es el modo indicado para las
empresas. Requiere un servidor configurado para desempear las tareas de
autentificacin, autorizacin y contabilidad.
Con clave inicial compartida (PSK). Este modo est orientado para usuarios
domsticos o pequeas redes. No requiere un servidor AAA, sino que se utiliza
una clave compartida en las estaciones y punto de acceso. Al contrario que en
WEP, esta clave solo se utiliza como punto de inicio para la autentificacin, pero
no para el cifrado de los datos.
CARRERAS PROFESIONALES
CIBERTEC
125
5.2.5.3 WPA2
802.11i es el nuevo estndar del IEEE para proporcionar seguridad en redes WLAN.
Wi-Fi est haciendo una implementacin completa del estndar en la especificacin
WPA2. Sus especificaciones no son pblicas, por lo que la cantidad de informacin
disponible en estos momentos es realmente escasa. WPA2 incluye el nuevo algoritmo
de cifrado AES (Advanced Encryption Standard), desarrollado por el NIS. Se trata de
un algoritmo de cifrado de bloque (RC4 es de flujo) con claves de 128 bits. Requerir
un hardware potente para realizar sus algoritmos. Este aspecto es importante, puesto
que significa que dispositivos antiguos sin suficientes capacidades de proceso no
podrn incorporar WPA2. Para el aseguramiento de la integridad y autenticidad de los
mensajes, WPA2 utiliza CCMP (Counter-Mode / Cipher Block Chaining / Message
Authentication Code Protocol) en lugar de los cdigos MIC. Otra mejora respecto a
WPA es que WPA2 incluir soporte no solo para el modo BSS sino tambin para el
modo IBSS (redes ad-hoc). La seguridad en las redes inalmbricas es un aspecto
crtico que no se puede descuidar. Debido a que las transmisiones viajan por un medio
no seguro, se requieren mecanismos que aseguren la confidencialidad de los datos as
como su integridad y autenticidad.
El sistema WEP, incluido en la norma IEEE 802.11 para proporcionar seguridad, tiene
distintas debilidades que lo hacen no seguro, por lo que deben buscarse alternativas.
Tanto la especificacin WPA como IEEE 802.11i solucionan todos los fallos conocidos
de WEP y, en estos momentos, se consideran soluciones fiables. La ventaja de WPA
es que no requiere de actualizaciones de hardware en los equipos. Mientras no se
descubran problemas de seguridad en WPA, esta implementacin puede ser suficiente
en los dispositivos para los prximos meses. La apuesta de seguridad del IEEE para
sustituir al desafortunado WEP, 802.11i, todava est pendiente de ser estudiada en
profundidad por investigadores debido a que sus especificaciones no son pblicas.
CIBERTEC
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
126
CARRERAS PROFESIONALES
CIBERTEC
CIBERTEC
127
CARRERAS PROFESIONALES
SEGURIDAD DE REDES I
128
Resumen
IPv4 no tiene caractersticas incluidas de seguridad sino que ms bien se ha tenido
que auxiliar del IPsec para proporcionar un cierto nivel de seguridad.
Secure Socket Layer es el protocolo de seguridad de Internet para conexiones
punto-a-punto
S/MIME est basado en el algoritmo RSA para la utilizacin de firmas digitales y
sobres digitales.
La VPN es una tecnologa de red que permite una extensin de la red local sobre
una red pblica o no controlada, como por ejemplo Internet.
Las VPNs (Redes Virtuales Privadas) deben verificar la identidad de los usuarios y
restringir su acceso a aquellos que no se encuentren autorizados.
CARRERAS PROFESIONALES
CIBERTEC
129
Bibliografa
Bsica
Jimeno Garca, Mara Teresa
2007
Cracking sin secretos
005.8 JIME/D EJ.2
Doherty, Jim
2009
Infraestructura de
redes Pblicas
RSA PRESS
(005.82 NASH)
Complementaria
McClure, Stuart
2010 Hackers: Secretos y
soluciones
McGrawHill
(005.8 MCCL EJ.2)
CIBERTEC
CARRERAS PROFESIONALES