Categorías: Todo - protocolo - vpn - seguridad - confidencialidad

por Walter Corea hace 6 años

155

Mecanismos de protección

Las redes privadas virtuales (VPN) son configuraciones que combinan tecnologías de seguridad y encapsulamiento de protocolos, permitiendo la creación de una red privada sobre una infraestructura pública como Internet.

Mecanismos de protección

Walter Corea 251051158

Mecanismos de protección

5. Redes privadas virtuales (VPN)

Definición y tipos de VPN
Túneles

Túneles a nivel de transporte

Túneles a nivel de enlace.

Túneles a nivel de red

Tipos de VPN

VPN extranet

VPN de acceso remoto

VPN entre redes locales o intranets

Una red privada virtual (VPN) es una configuración que combina el uso de dos tipos de tecnologías:

Las tecnologías de encapsulamiento de protocolos que permiten que, en lugar de una conexión física dedicada para la red privada, se pueda utilizar una infraestructura de red pública, como Internet, para definir por encima de ella una red virtual.

Las tecnologías de seguridad que permiten la definición de una red privada, es decir, un medio de comunicación confidencial que no puede ser interceptado por usuarios ajenos a la red.

Los protocolos seguros que hemos visto hasta este punto permiten proteger las comunicaciones, por ejemplo, de una aplicación implementada como un proceso cliente que se ejecuta en un ordenador y un proceso servidor que se ejecuta en otro ordenador

3. Protección del nivel de red: IPsec

Modos de uso de los protocolos IPsec
La arquitectura IPsec define dos modos de uso de los protocolos AH y ESP, dependiendo de como se incluyan las cabeceras correspondientes en un datagrama IP.

Modo túnel

Modo transporte

El protocolo ESP
El protocolo ESP define otra cabecera, que de hecho incluye dentro todos los datos que vengan a continuación en el datagrama (lo que en inglés se llama:payload).
El protocolo AH
El protocolo AH define una cabecera que contiene la información necesaria para a la autenticación de origen de un datagrama. El campo Next Header sirve para indicar a que protocolo corresponden los datos que vienen a continuación de la cabecera AH. El campo Payload Length indica la longitud de la cabecera (esta información se necesita porque el último campo es
La arquitectura IPsec (RFC 2401) añade servicios de seguridad al protocolo IP (versión 4 y versión 6), que pueden ser usados por los protocolos de niveles superiores (TCP, UDP, ICMP, etc.).
El protocolo ESP (Encapsulating Security Payload, RFC 2406) puede ofrecer el servicio de confidencialidad, el de autenticación de origen de los datos de los datagramas IP (sin incluir la cabecera), o los dos a la vez.
El protocolo AH (Authentication Header, RFC 2402) ofrece el servicio de autenticación de origen de los datagramas IP (incluyendo la cabecera y los datos de los datagramas).
La protección a nivel de aplicación
La protección a nivel de transporte
La protección a nivel de red

1. Conceptos básicos de criptografía

Criptograía de clave simétrica
Cadenas de certificados y jerarquías de certificación

La autenticación de entidad

La autenticación de mensaje o autenticación de origen de datos

Certificados de clave pública

La firma de las dos partes anteriores.

El valor de la clave pública de este usuario

Una identificación de usuario como, por ejemplo, su nombre.

Criptografía de clave pública

Algoritmos de clave pública

Ejemplos de algoritmos de clave pública

DSA (Digital Signature Algorithm)

ElGamal

Intercambio de claves Diffie-Hellman

se utilizan claves distintas para el cifrado y el descifrado. Una de ellas, la clave pública, se puede obtener fácilmente a partir de la otra, la clave privada, pero por el contrario es computacionalmente de muy difícil obtención la clave privada a partir de la clave pública.

Funciones hash seguras

Una función hash nos permite obtener una cadena de bits de longitud fija, relativamente corta, a partir de un mensaje de longitud arbitraria:H = h(M)

Uso de los algoritmos de clave simétrica

Modos de operación al cifrado en bloque.

OFB (Output Feedback)

CFB (Cipher Feedback)

CBC (Cipher Block Chaining)

ECB (Electronic Codebook)

Se utiliza el cifrado simétrico para proteger las comunicaciones, se puede escoger el algoritmo que sea más apropiado a las necesidades de cada aplicación: normalmente, a más seguridad menos velocidad de cifrado, y viceversa.

Algoritmos de cifrado en bloque

Ejemplos de algoritmos de cifrado en bloque

AES (Advanced Encryption Standard).

Triple DES.

DES (Data Encryption Standard).

En una cifra de bloque, el algoritmo de cifrado o descifrado se aplica separadamente a bloques de entrada de longitud fija b, y para cada uno de ellos el resultado es un bloque de la misma longitud.

La transposición:consiste en reordenar la información del texto en claro según un patrón determinado. Un ejemplo podría ser la formación grupos de cinco letras, incluidos los espacios en blanco, y rescribir cada grupo (1,2,3,4,5) en el orden(3,1,5,4,2):

sustitución: consiste en traducir cada grupo de bits de la entrada a otro, de acuerdo con una permutación determinada.

Algoritmos de cifrado en flujo

El funcionamiento de una cifrado en flujo consiste en la combinación de un texto en claro M con un texto de cifrado S que se obtiene a partir de la clave simétrica k. Para descifrar, sólo se requiere realizar la operación inversa con el texto cifrado y el mismo texto de cifrado S.

Los sistemas criptográficos de clave simétrica se caracterizan porque la clave de descifrado x es idéntica a la clave de cifrado k, o bien se puede deducir directamente a partir de ésta.
El cifrado de César
Consiste en sustituir cada letra del mensaje por la que hay tres posiciones más adelante en el alfabeto (volviendo a empezar por la letra A si llegamos a la Z). De este modo, si aplicamos este algoritmo de cifrado al texto en claro “ALEA JACTA EST” (y utilizado el alfabeto latino actual, porque en tiempos del César no existían letras como la “W”), obtenemos el texto cifrado “DOHD MDFWD HVW”. El descifrado en este caso es muy simple: sólo es necesario sustituir cada letra por la que hay tres posiciones antes en el alfabeto.
criptología.
La criptografía estudia, desde un punto de vista matemático, los métodos de protección de la información. Por otro lado, el criptoanálisis estudia las posibles técnicas utilizadas para contrarrestar los métodos criptográficos, y es de gran utilidad para ayudar a que estos sean más robustos y difíciles de atacar. El conjunto formado por estas dos disciplinas, criptografía y criptoanálisis, se conoce como criptología.

4. Protección del nivel de transporte: SSL/TLS/WTLS

Aplicaciones que utilizan SSL/TLS
NNTPS (NNTP sobre SSL): para el acceso seguro al servicio de News.
HTTPS (HTTP sobre SSL/TLS): el protocolo más utilizado actualmente para la navegación web segura.
Ataques contra el protocolo SSL/TLS
Los protocolos SSL/TLS están diseñados para resistir los iguientes ataques:

Repetición, eliminación o reordenación de paquetes.

Alteración de los paquetes.

Suplantación de servidor o cliente.

Lectura de los paquetes enviados por el cliente y servidor.

El transporte seguro SSL/TLS
El protocolo de negociación SSL/TLS

El protocolo de negociación SSL/TLS, también llamado protocolo de encajada de manos (Handshake Protocol), tiene por finalidad autenticar el cliente y/o el servidor, y acordar los algoritmos y claves que se utilizaran de forma segura, es decir, garantizando la confidencialidad y la integridad de la negociación.

El protocolo de registros SSL/TLS

La información que se intercambian cliente y servidor en una conexión SSL/

En la subcapa inferior, estos mensajes son estructurados en registros a los cuales se les aplica, según corresponda, la compresión, la autenticación y el cifrado.
La subcapa superior se encarga básicamente de negociar los parámetros de seguridad y de transferir los datos de la aplicación. Tanto los datos de negociación como los de aplicación se intercambian en mensajes
Características del protocolo SSL/TLS
los protocolos SSL/TLS están diseñados:

Extensibilidad

Eficiencia

Los servicios de seguridad que proporcionan los protocolos SSL/TLS son:

Confidencialidad

Una característica distintiva del WTLS es que no solamente permite proteger conexiones TCP, como hacen SSL y TLS, si no que también define un mecanismo de protección para las comunicaciones en modo datagrama, usadas en diversas aplicaciones móviles.
Protocolos
El protocolo Wireless Transport Layer Security (WTLS)
La especificación Transport Layer Security (TLS)
El protocolo de transporte Secure Sockets Layer (SSL)
Un método alternativo que no necesita modificaciones en los equipos de interconexión es introducir la seguridad en los protocolos de transporte. La solución más usada actualmente es el uso del protocolo SSL o de otros basados en SSL.

2. Sistemas de autenticación

Protocolos de reto-respuesta
Protocolos de reto-respuesta con clave pública

Técnicas de clave pública

El reto se envía en claro y la respuesta es la firma del reto

El reto se manda cifrado con clave pública y la respuesta es el reto descifrado con la correspondiente clave privada.

Descifrado del reto

Firma del reto

Protocolos de reto-respuesta con clave simétrica

Autenticación con función unidireccional

Autenticación mutua con números aleatorios

Autenticación con números aleatorios

Autenticación con marca de tiempo

Autenticación de mensaje
Existen dos grupos de técnicas para proporcionar autenticación de mensaje:

Las firmas digitales, que se basan en la criptografía de clave pública

Los códigos de autenticación de mensaje o MAC, basados en claves simétricas.

Técnicas para dificultar los ataques de diccionario

Uso de passphrases

Añadir bits de sal a la codificación de las contraseñas

Añadir complejidad a la codificación de las contraseñas

Reglas para evitar contraseñas fáciles

Ocultar la lista de contraseñas codificadas

Lista de contraseñas codificadas

ista de contraseñas, en lugar de estar guardadas éstas en claro por pares (A,xA), cada una esté codificada con alguna transformación C de manera que no se pueda deducir su valor real. De este modo, la lista debe contener pares (A,C(xA))

Lista de contraseñas en claro

La manera más simple de comprobar una contraseña es que el verificador tenga una lista de las contraseñas asociadas a los usuarios

Autenticación de entidad

Contraseñas

Firmas digitales

Un código de autenticación de mensaje o MAC se obtiene con un algoritmo a que tiene dos entradas: un mensajeM de longitud arbitraria, y una clave secreta k compartida por el originador y el destinatario del mensaje. Como resultado da un código CMAC = a(k,M) de longitud fija. El algoritmo MAC debe garantizar que sea computacionalmente inviable encontrar un mensaje M = M que de el mismo código que M, y también obtener el código de un mensaje cualquiera sin conocer la clave.

Tipos de autenticación
La autenticación de entidad permite confirmar la identidad de un participante A en una comunicación, es decir, que no se trata de un tercero Z que dice ser A.
La autenticación de mensaje o autenticación de origen de datos permite confirmar que el originador A de un mensaje es auténtico, es decir, que el mensaje no ha sido generado por un tercero Z que quiere hacer creer que lo ha generado A.