Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/...Modelos de...
Transcript of Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/...Modelos de...
![Page 1: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/...Modelos de confianza UBA - Maestría en Seguridad Informática Modelo Jerárquico UBA - Maestría](https://reader036.fdocuments.mx/reader036/viewer/2022081617/60455a49973ffc22fd5b0d42/html5/thumbnails/1.jpg)
Seguridad en Redes
Confianza entre organizaciones
Certificación Cruzada
Ingeniero Edy Javier Milla
![Page 2: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/...Modelos de confianza UBA - Maestría en Seguridad Informática Modelo Jerárquico UBA - Maestría](https://reader036.fdocuments.mx/reader036/viewer/2022081617/60455a49973ffc22fd5b0d42/html5/thumbnails/2.jpg)
UBA - Maestría en Seguridad Informática 2
• Organizaciones están utilizando certificados
digitales.
• Confiabilidad, Integridad y no Repudio.
• Utilizan Autoridades Certificantes propias.
• Validez a lo interno de la organización.
• Políticas, Normas y Procedimientos.
Infraestructura de clave pública (PKI) en las organizaciones
![Page 3: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/...Modelos de confianza UBA - Maestría en Seguridad Informática Modelo Jerárquico UBA - Maestría](https://reader036.fdocuments.mx/reader036/viewer/2022081617/60455a49973ffc22fd5b0d42/html5/thumbnails/3.jpg)
UBA - Maestría en Seguridad Informática
Implementaciones PKI
• Autoridades Certificantes Raíz
• Certificado Autofirmado (selfsign)
• Inicio de la confianza.
• Autoridades Certificantes Subordinadas
• Se establecen políticas.
• Firman CA’s de nivel jerárquico inferior
• Autoridades Certificantes Operativas
• Emiten certificados para entidades finales
• Usuarios
• Equipos
![Page 4: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/...Modelos de confianza UBA - Maestría en Seguridad Informática Modelo Jerárquico UBA - Maestría](https://reader036.fdocuments.mx/reader036/viewer/2022081617/60455a49973ffc22fd5b0d42/html5/thumbnails/4.jpg)
UBA - Maestría en Seguridad Informática
Autoridad Certificante Verisign Raiz
![Page 5: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/...Modelos de confianza UBA - Maestría en Seguridad Informática Modelo Jerárquico UBA - Maestría](https://reader036.fdocuments.mx/reader036/viewer/2022081617/60455a49973ffc22fd5b0d42/html5/thumbnails/5.jpg)
UBA - Maestría en Seguridad Informática
Autoridad Certificante Verisign subordinada
![Page 6: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/...Modelos de confianza UBA - Maestría en Seguridad Informática Modelo Jerárquico UBA - Maestría](https://reader036.fdocuments.mx/reader036/viewer/2022081617/60455a49973ffc22fd5b0d42/html5/thumbnails/6.jpg)
UBA - Maestría en Seguridad Informática
• Los certificados son firmados por las AC
• Esencialmente una AC es un tercero en el que se
confía para verificar los atributos del certificado.
• El beneficio de los certificados y ACs se obtienen
cuando dos entidades confían en la misma AC.
• Una AC es responsable de verificar la identidad de
un solicitante antes de emitir un certificado.
• La llave publica de las ACs son distribuidas en los
navegadores o pueden ser importadas
manualmente.
Autoridades Certificantes (AC)
![Page 7: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/...Modelos de confianza UBA - Maestría en Seguridad Informática Modelo Jerárquico UBA - Maestría](https://reader036.fdocuments.mx/reader036/viewer/2022081617/60455a49973ffc22fd5b0d42/html5/thumbnails/7.jpg)
UBA - Maestría en Seguridad Informática
Modelo Jerárquico: Una CA delega la autoridad de
emitir certificados a una CA subordinada las
cuales pueden delegar la autoridad a otras CA
subordinadas.
Modelo Certificación Cruzada: Permite que
entidades en una PKI confíen en otras entidades
que tiene su propia PKI.
Modelos de confianza
![Page 8: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/...Modelos de confianza UBA - Maestría en Seguridad Informática Modelo Jerárquico UBA - Maestría](https://reader036.fdocuments.mx/reader036/viewer/2022081617/60455a49973ffc22fd5b0d42/html5/thumbnails/8.jpg)
UBA - Maestría en Seguridad Informática
Modelo Jerárquico
![Page 9: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/...Modelos de confianza UBA - Maestría en Seguridad Informática Modelo Jerárquico UBA - Maestría](https://reader036.fdocuments.mx/reader036/viewer/2022081617/60455a49973ffc22fd5b0d42/html5/thumbnails/9.jpg)
UBA - Maestría en Seguridad Informática
Modelo Jerárquico
![Page 10: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/...Modelos de confianza UBA - Maestría en Seguridad Informática Modelo Jerárquico UBA - Maestría](https://reader036.fdocuments.mx/reader036/viewer/2022081617/60455a49973ffc22fd5b0d42/html5/thumbnails/10.jpg)
UBA - Maestría en Seguridad Informática
Modelo Certificación Cruzada
![Page 11: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/...Modelos de confianza UBA - Maestría en Seguridad Informática Modelo Jerárquico UBA - Maestría](https://reader036.fdocuments.mx/reader036/viewer/2022081617/60455a49973ffc22fd5b0d42/html5/thumbnails/11.jpg)
UBA - Maestría en Seguridad Informática
Modelo Certificación Cruzada
![Page 12: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/...Modelos de confianza UBA - Maestría en Seguridad Informática Modelo Jerárquico UBA - Maestría](https://reader036.fdocuments.mx/reader036/viewer/2022081617/60455a49973ffc22fd5b0d42/html5/thumbnails/12.jpg)
UBA - Maestría en Seguridad Informática
Modelo Certificación Cruzada
![Page 13: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/...Modelos de confianza UBA - Maestría en Seguridad Informática Modelo Jerárquico UBA - Maestría](https://reader036.fdocuments.mx/reader036/viewer/2022081617/60455a49973ffc22fd5b0d42/html5/thumbnails/13.jpg)
UBA - Maestría en Seguridad Informática
Interoperabilidad
• Las AC emiten certificados de acuerdo a un
estándar (X.509)
• Posibilidad de interoperabilidad entre diferentes
AC.
• Windows AC vs EJBCA AC
• Windows AC vs OpenSSL AC
![Page 14: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/...Modelos de confianza UBA - Maestría en Seguridad Informática Modelo Jerárquico UBA - Maestría](https://reader036.fdocuments.mx/reader036/viewer/2022081617/60455a49973ffc22fd5b0d42/html5/thumbnails/14.jpg)
UBA - Maestría en Seguridad Informática
Flujo de proceso de firmado de un certificado
para Certificación cruzada
• Crear/agregar de la plantilla del Agente para la solicitud de firmado.
• Incorporación de plantillas Cross Certification Signing y Cross Certificate Authority a la lista de emisión de certificados.
• Emisión del certificado para el Agente Cross Certification Enrollment Agent
• Creación y parametrización del archivo de políticas de certificación (policy.inf)
• Proceso de generación y firmado de la solicitud del certificado (CSR)
• Emisión del certificado cruzado (firmado de la solicitud con la llave privada de la Autoridad Certificante).
![Page 15: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/...Modelos de confianza UBA - Maestría en Seguridad Informática Modelo Jerárquico UBA - Maestría](https://reader036.fdocuments.mx/reader036/viewer/2022081617/60455a49973ffc22fd5b0d42/html5/thumbnails/15.jpg)
UBA - Maestría en Seguridad Informática
Crear/agregar de la plantilla del Agente para la solicitud de firmado
![Page 16: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/...Modelos de confianza UBA - Maestría en Seguridad Informática Modelo Jerárquico UBA - Maestría](https://reader036.fdocuments.mx/reader036/viewer/2022081617/60455a49973ffc22fd5b0d42/html5/thumbnails/16.jpg)
UBA - Maestría en Seguridad Informática
Incorporación de plantillas Cross Certification Signing y Cross Certificate Authority a la lista de emisión de
certificados
![Page 17: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/...Modelos de confianza UBA - Maestría en Seguridad Informática Modelo Jerárquico UBA - Maestría](https://reader036.fdocuments.mx/reader036/viewer/2022081617/60455a49973ffc22fd5b0d42/html5/thumbnails/17.jpg)
UBA - Maestría en Seguridad Informática
Emisión del certificado para el Agente Cross Certification Enrollment Agent
![Page 18: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/...Modelos de confianza UBA - Maestría en Seguridad Informática Modelo Jerárquico UBA - Maestría](https://reader036.fdocuments.mx/reader036/viewer/2022081617/60455a49973ffc22fd5b0d42/html5/thumbnails/18.jpg)
UBA - Maestría en Seguridad Informática
Creación y parametrización del archivo de políticas de certificación (policy.inf)
![Page 19: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/...Modelos de confianza UBA - Maestría en Seguridad Informática Modelo Jerárquico UBA - Maestría](https://reader036.fdocuments.mx/reader036/viewer/2022081617/60455a49973ffc22fd5b0d42/html5/thumbnails/19.jpg)
UBA - Maestría en Seguridad Informática
Proceso de generación y firmado de la solicitud del certificado (CSR)
• Generación del CSR
• Certreq –policy
• Pide el certificado de la CA que se va a cros-certificar
• Pide el archivo policy.inf
• Firma la solicitud con el agente de certificacion
cruzada utilizando la plantilla CrossCA
![Page 20: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/...Modelos de confianza UBA - Maestría en Seguridad Informática Modelo Jerárquico UBA - Maestría](https://reader036.fdocuments.mx/reader036/viewer/2022081617/60455a49973ffc22fd5b0d42/html5/thumbnails/20.jpg)
UBA - Maestría en Seguridad Informática
Emisión del certificado cruzado
![Page 21: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/...Modelos de confianza UBA - Maestría en Seguridad Informática Modelo Jerárquico UBA - Maestría](https://reader036.fdocuments.mx/reader036/viewer/2022081617/60455a49973ffc22fd5b0d42/html5/thumbnails/21.jpg)
UBA - Maestría en Seguridad Informática
Datos Importantes
• Distribuir el nuevo certificado en los equipos
que van a tener acceso a entidad que presta
los servicios.
• Verificar la validez de los certificados.
• Advertir al usuario de certificado invalido.
![Page 22: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/...Modelos de confianza UBA - Maestría en Seguridad Informática Modelo Jerárquico UBA - Maestría](https://reader036.fdocuments.mx/reader036/viewer/2022081617/60455a49973ffc22fd5b0d42/html5/thumbnails/22.jpg)
UBA - Maestría en Seguridad Informática
Laboratorios
• Cada facultad tiene su propia PKI
• AC Raíz
• AC Subordinada
• La FI va a tener acceso a una aplicación web
de la FCE. La FI va a efectuar el proceso de
Certificación Cruzada para tener un mejor
control de acceso.
• La FI solicita a la FCE el certificado de la
SubCA
• La FI efectúa el proceso de certificación
![Page 23: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/...Modelos de confianza UBA - Maestría en Seguridad Informática Modelo Jerárquico UBA - Maestría](https://reader036.fdocuments.mx/reader036/viewer/2022081617/60455a49973ffc22fd5b0d42/html5/thumbnails/23.jpg)
UBA - Maestría en Seguridad Informática
Laboratorios
• Al generar el certificado cruzado, se registra en
el repositorio de Autoridades Certificantes
Intermedias.
• Nótese que el certificado de la FCE raíz no se
registra en los equipos finales.