MECANISMOS DE PROTECCIÓN CONTRA INTRUSOS
Criptografía
La criptografía estudia, desde un punto de vista matemático, los métodos de protección de la información. Por otro lado, el criptoanálisis estudia las posibles técnicas utilizadas para contrarrestar los métodos criptográficos, y es de gran utilidad para ayudar a que estos sean más robustos y difíciles de atacar.
Criptografía de clave simétrica
Los sistemas criptográficos de clave simétrica se caracterizan porque la clave de descifrado x es idéntica a la clave de cifradok, o bien se puede deducir directamente a partir de ésta.
Criptografía de clave pública
Algoritmos de clave pública
En un algoritmo criptográfico de clave pública se utilizan claves distintas para el cifrado y el descifrado. Una de ellas, la clave pública, se puede obtener fácilmente a partir de la otra, la clave privada, pero por el contrario es computacionalmente de muy difícil obtención la clave privada a partir de la clave pública.
Infraestructura de Clave Pública
Es una combinación de hardware, software, y políticas y procedimientos de seguridad, que permiten la ejecución con garantías de operaciones criptográficas, como el cifrado, la firma digital, y el no repudio de transacciones electrónicas.
Sistemas de Autenticación
Uno de los servicios de seguridad que se requiere en muchas aplicaciones es el de la autenticación. Este servicio permite garantizar que nadie ha falsificado la comunicación.
Podemos distinguir dos tipos de autenticación:
Autenticación de Mensaje
La autenticación de mensaje o autenticación de origen de datos permite confirmar que el originador A de un mensaje es auténtico, es decir, que el mensaje no ha sido generado por un tercero Z que quiere hacer creer que lo ha generado A.
Códigos de autenticación de mensaje (MAC)
Un código de autenticación de mensaje o MAC se obtiene con un algoritmo a que tiene dos entradas: un mensaje M de longitud arbitraria, y una clave secreta k compartida por el originador y el destinatario del mensaje.
Firmas Digitales
Es un mecanismo criptográfico que permite al receptor de un mensaje firmado digitalmente identificar a la entidad originadora de dicho mensaje (autenticación de origen y no repudio)
Autenticación de Entidad
La autenticación de entidad permite confirmar la identidad de un participante A en una comunicación, es decir, que no se trata de un tercero Z que dice ser A. A continuación, veremos dos grupos de técnicas que se pueden utilizar para la autenticación de entidad:
Las basadas en contraseñas (o passwords, en inglés), también llamadas técnicas de autenticación débil.
Las basadas en protocolos de reto-respuesta (challenge-response, en inglés) también llamadas técnicas de autenticación fuerte.
Protección del Nivel de Red
La protección a nivel de red garantiza que los datos que se envíen a los protocolos de nivel superior, como TCP o UDP, se transmitirán protegidos.
Arquitectura Ipsec
IPsec se basa en el uso de una serie de protocolos seguros, de los cuales hay dos que proporcionan la mayor parte de los servicios:
El protocolo AH
(Authentication Header, RFC 2402) ofrece el servicio de autenticación de origen de los datagramas IP (incluyendo la cabecera y los datos de los datagramas).define una cabecera que contiene la información necesaria para a la autenticación de origen de un datagrama.
El protocolo ESP
ESP (Encapsulating Security Payload, RFC 2406) puede ofrecer el servicio de confidencialidad, el de autenticación de origen de los datos de los datagramas IP (sin incluir la cabecera), o los dos a la vez.define otra cabecera, que de hecho incluye dentro todos los datos que vengan a continuación en el datagrama (lo que en inglés se llama “payload”).
Protección del Nivel de Transporte
Un método alternativo que no necesita modificaciones en los equipos de interconexión es introducir la seguridad en los protocolos de transporte. La solución más usada actualmente es el uso del protocolo SSL o de otros basados en SSL.Este grupo de protocolos comprende:
El protocolo de transporte Secure Sockets Layer (SSL)
desarrollado por Netscape Communications a principios de los años 90. La primera versión de este protocolo ampliamente difundida y implementada fue la 2.0.
La especificación Transport Layer Security (TLS)
elaborada por la IETF (Internet Engineering Task Force). La versión 1.0 del protocolo TLS está publicada en el documento RFC 2246.
Aplicaciones que utilizan SSL/TLS
HTTPS (HTTP sobre SSL/TLS): el protocolo más utilizado actualmente para la navegación web segura.
NNTPS (NNTP sobre SSL): para el acceso seguro al servicio de News.
Redes Privadas Virtuales
Una red privada virtual (VPN) es una configuración que combina el uso de dos tipos de tecnologías:
Las tecnologías de seguridad
Que permiten la definición de una red privada, es decir, un medio de comunicación confidencial que no puede ser interceptado por usuarios ajenos a la red.
Las tecnologías de encapsulamiento de protocolos
permiten que, en lugar de una conexión física dedicada para la red privada, se pueda utilizar una infraestructura de red pública, como Internet, para definir por encima de ella una red virtual.
Dependiendo de la situación de los nodos que utilizan esta red, podemos considerar tres tipos de VPN:
VPN entre redes locales o intranets
Este es el caso habitual en que una empresa dispone de redes locales en diferentes sedes, geográficamente separadas, en cada una de las cuales hay una red privada o intranet, de acceso restringido a sus empleados.
VPN de acceso remoto
Cuando un empleado de la empresa quiere acceder a la intranet des de un ordenador remoto, puede establecer una VPN de este tipo entre este ordenador y la intranet de la empresa.
VPN extranet
A veces, a una empresa le interesa compartir una parte de los recursos de su intranet con determinados usuarios externos, como por ejemplo proveedores o clientes de la empresa.