Organización y arquitectura de computadores, william stallings 7ta edición
Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”....
Transcript of Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”....
![Page 1: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/1.jpg)
Tecnologías y Servicios de Seguridad en Internet
LUIS MENGUAL GALÁN
http://pegaso.ls.fi.upm.es/~lmengual/ARQ_REDES/ARQ_SEG.html
![Page 2: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/2.jpg)
Índice• Introducción a la Seguridaden Sistemas Distribuidos
• Modelos de Seguridad en Web: • Seguridad en el nivel de Red (IPSec /IPv6 )• Seguridad en el nivel de transporte (SSL)• Seguridad a nivel de aplicación (PGP,
S/MIME, SET )
• Redes Internas Corporativas Seguras: • Direccionamiento IP privado y traducciones• Cortafuegos
![Page 3: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/3.jpg)
Bibliografía
• “Network and Internetwork Security Principles and Practice”. W. Stallings, Prentice Hall. 1995
• “Criptography and Network Security”. 4ª Edition. W. Stallings, Prentice Hall. 2005
• “Redes de Comunicación”, León-García, A., Widjaja, I., McGraw-Hill, 2001
• “Comunicaciones y Redes de Computadores”, 7ª Edición. W. Stallings, Prentice Hall. 2000
• “Computer Networks”, Fourth Edition. A. Tanenbaum, 2002
![Page 4: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/4.jpg)
Introducción a la Seguridaden Sistemas Distribuidos
• Conocer las amenazas que puede sufrir la información que se distribuye en una red telemática
• Analizar los servicios de seguridad disponibles así como los mecanismos asociados
• Presentar los protocolos de seguridad como algoritmo distribuido para implementar mecanismos
• Profundizar en las soluciones prácticas para ofrecer servicios de seguridad basadas en criptografía de clave pública
Objetivos:
![Page 5: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/5.jpg)
• Amenazas en una Red Telemática• Servicios de seguridad• Mecanismos y protocolos de seguridad• Ejemplos prácticos del uso de la
criptografía de clave pública. Uso de los certificados digitales
Índice:
Introducción a la Seguridad en Sistemas Distribuidos
![Page 6: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/6.jpg)
ORIGEN DATOS DESTINO DATOS
FLUJO NORMAL DATOS
AMENAZAS EN UNA RED TELEMÁTICA (I)
INTERRUPCIÓNINTERCEPTACIÓN
FABRICACIÓNMODIFICACIÓN
![Page 7: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/7.jpg)
ATAQUES PASIVOS
• Tienen su origen en la escucha o monitorización de una transmisión
• El objetivo es obtener la información que está siendo transmitida
• Son muy difíciles de detectar• Es posible evitar estos ataques• Hay que hacer más énfasis en la prevención
que en la detección.
![Page 8: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/8.jpg)
AMENAZAS EN UNA RED TELEMÁTICA (II)
ATAQUES PASIVOS
INTERCEPTACIÓN (Confidencialidad)
Análisis de TráficoRevelación
![Page 9: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/9.jpg)
ATAQUES ACTIVOS
• Implican la disposición activa de un intruso:– Modificación en el flujo de unidades de datos – Creación de unidades de datos fraudulentas – Interrupción de las comunicaciones
• Son difíciles de evitar de manera absoluta• Los servicios de seguridad tratan de detectarlos
y recuperarse de cualquier perturbación o retardos ocasionados por ellos.
• Debido a que la detección tiene un efecto disuasivo también puede contribuir a la prevención.
![Page 10: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/10.jpg)
ATAQUES ACTIVOS
INTERRUPCIÓN(DISPONIBILIDAD)
INSERCIÓN(AUTENTICACIÓN)
SuplantaciónidentidadRetransmisión
Alteración delas facilidadeso recursos de
las comunicaciones
ModificaciónDatos
MODIFICACIÓN(INTEGRIDAD)
AMENAZAS EN UNA RED TELEMÁTICA (III)
![Page 11: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/11.jpg)
SERVICIOS DE SEGURIDAD (I)ISO 7498 (Part 2)
• CONFIDENCIALIDAD– Protección de los datos frente a intrusos– Variantes:
• Orientada a conexión• No orientada a Conexión• Selectiva• Aplicada al análisis de tráfico
• AUTENTICACIÓN– Garantía del origen de los datos y de las
entidades implicadas– Variantes:
• En comunicaciones no orientadas a conexión • En comunicaciones orientadas a conexión
![Page 12: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/12.jpg)
SERVICIOS DE SEGURIDAD (II)ISO 7498 (Part 2)
• INTEGRIDAD– Garantía de la no alteración de la información– Variantes:
• En comunicaciones orientadas a conexión (con y sin mecanismos de recuperación, aplicada a campos selectivos)
• En comunicaciones no orientadas a conexión (aplicadas a campos selectivo)
• NO REPUDIO– Evita que tanto el emisor como el receptor nieguen
haber transmitido un mensaje– Variantes:
• Con prueba de origen• Con prueba de entrega
• CONTROL DE ACCESO
![Page 13: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/13.jpg)
MECANISMOS Y PROTOCOLOS• Mecanismos de seguridad:
– Cifrado simétrico y asimétrico– Intercambio de Autenticación
• Funciones Hash. Códigos de autenticación de Mensajes.
• Actualidad de los mensajes
– Firma digital • Protocolos de seguridad:
– Proporcionan autenticación (Mecanismos de Desafío/respuesta, Sellos de tiempo)
– Distribuyen claves de sesión
![Page 14: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/14.jpg)
CIFRADO SIMÉTRICO (I)
TEXTO CIFRADO
CLAVE
ALGORITMO DESCIFRADO TEXTO EN CLARO
USUARIO A USUARIO B
ALGORITMO CIFRADOTEXTO EN CLARO
![Page 15: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/15.jpg)
CIFRADO SIMÉTRICO (II)
• Aspectos a considerar para la elección del algoritmo:– Longitud Clave– Robustez algoritmo– Velocidad de cifrado
![Page 16: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/16.jpg)
• DES (Data Encryption Standard)– Adoptado en 1977 por el NIST (National Institute of Standars
and Technology)– Los datos a cifrar se procesan en bloques de 64 bits– La longitud de la clave es de 56 bits
• Triple DES– Tres ejecuciones del algoritmo DES– Longitud de clave efectiva de 168 bits
• IDEA (International Data Encyption Algorithm)– Desarrollado por Xuejia Lai y J. Massey (Swiss Federal
Institute of Technology)– Los datos a cifrar se procesan en bloques de 64 bits
– La longitud de la clave es de 128
ALGORITMOS DE CIFRADO SIMÉTRICO (I)
![Page 17: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/17.jpg)
CIFRADO SIMÉTRICOALGORITMOS DE CIFRADO (II)
• RC5– Desarrollado por Ron Rivest– Los datos a cifrar se procesan en bloques de longitud 32, 64 o
128 bits– Longitud de clave variable (0 a 1024Bits)
• Blowfish– Desarrollado por Bruce Schneier– Los datos a cifrar se procesan en bloques de 64 bits– La longitud de la clave es de hasta 448 bits
• Rijndael– Desarrollado V. Rijmen J. Daemen, y propuesto como AES
(Advanced Encryption Standard) por el NIST– Los datos a cifrar se procesan en bloques de longitud variable:
128, 192 ó 256 Bits – Longitud de clave variable: 128, 192 ó 256 Bits
![Page 18: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/18.jpg)
CIFRADO SIMÉTRICOALGORITMOS DE CIFRADO (III)
• Velocidades aproximadas de cifrado (Pentium 400Mhz)*– Blowfish: 22Mbytes/s– RC5: 17 Mbytes/s– DES: 8,8 Mbytes/s– IDEA: 8 Mbytes/s– Triple DES: 3,7 Mbytes/s
*Referencia Blowfish Website
![Page 19: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/19.jpg)
CIFRADO ASIMÉTRICO (I)(Ó DE CLAVE PÚBLICA)
CLAVE PUBLICA DE B
USUARIO A USUARIO B
CLAVE SECRETA DE B
CLAVE PUBLICA DE B
CLAVE SECRETA DE BCLAVE PUBLICA DE B
ALGORITMO CIFRADOTEXTO EN CLARO
ALGORITMO DESCIFRADO TEXTO EN CLARO
TEXTO CIFRADO
![Page 20: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/20.jpg)
CIFRADO ASIMÉTRICO (II)(Ó DE CLAVE PÚBLICA)
• Se generan un par de claves complementarias (pública y secreta)
• La clave secreta (privada) no sale del sistema del usuario
• La clave pública está disponible al resto de los usuarios del sistema
• Las claves son reversibles• No debe ser factible obtener la clave
pública a partir de la secreta y viceversa
![Page 21: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/21.jpg)
ALGORITMOS DE CIFRADO ASIMÉTRICO
• Diffie-Hellman– Primer sistema de Criptografía de clave pública. 1975
• RSA – Desarrollado por Rivest-Shamir-Adelman en el MIT en 1978
– Es el algoritmo más utilizado en criptografía asimétrica
![Page 22: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/22.jpg)
FUNCIÓN HASH (I) (RESÚMEN)
• Es una función que aplicada a un bloque de longitud arbitraria produce una salida de longitud fija
• Propiedades de una función Hash– Para un h dado deber ser computacionalmente imposible
encontrar un m tal que h=H(m)– Para un m dado deber ser computacionalmente
imposible encontrar un m’ tal que H(m´)=H(m)– No debe de ser factible computacionalmente encontrar
un par (m,m´) tal que H(m)=H(m´)
![Page 23: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/23.jpg)
ALGORITMOS HASH
• MD5 (Message Digest Algorithm)– Desarrollado por Ron Rivest en el MIT (RFC 1321)– Se toma una entrada de longitud arbitraria y se genera
un resumen de 128 bits– La entrada se procesa en bloques de 512 bits
• SHA (Secure Hash Algorithm)– Desarrollado por NITS (FIPS PUB 180)– Se toma una entrada de longitud arbitraria y se genera
un resumen de 160 bits– La entrada se procesa en bloques de 512 bits
![Page 24: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/24.jpg)
FUNCIÓN HASH (II)
ENTIDAD A
H
||
ENTIDAD B
E
M H
[ ]E H MKSA( )
COMPARAR
M
D
KS a KPa
![Page 25: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/25.jpg)
FUNCIÓN HASH (III)
ENTIDAD A
||
ENTIDAD B
H
M
H
HS MAB( )
COMPARAR
M
SAB
||
||SAB
![Page 26: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/26.jpg)
CÓDIGO DE AUTENTICACIÓN DE MENSAJES (I)
M
C MK ( )
ENTIDAD A
C
|| M
C(M)
ENTIDAD B
C
COMPARAR
K
K
![Page 27: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/27.jpg)
CÓDIGO DE AUTENTICACIÓN DE MENSAJES (II)
M
ENTIDAD A
C
||
K1
C MK1( )
M
C(M)
ENTIDAD B
C
COMPARARK1
D
K2 K2
E M C MK K2 1( )
E
![Page 28: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/28.jpg)
FIRMA DIGITAL (I)
• Debe ser posible verificar al autor y el tiempo de la firma
• Debe ser posible autentificar los contenidos de los mensajes en el tiempo de la firma
• La firma debe estar disponible por las entidades para resolver disputas
![Page 29: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/29.jpg)
FIRMA DIGITAL (II)
CLAVE SECRETA DE A
USUARIO B
CLAVE PUBLICA DE A
CLAVE PUBLICA DE A
ALGORITMO CIFRADOTEXTO EN CLARO
ALGORITMO DESCIFRADO TEXTO EN CLARO
TEXTO CIFRADO
USUARIO ACLAVE PUBLICA DE A
CLAVE SECRETA DE A
![Page 30: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/30.jpg)
EJEMPLOS PRÁCTICOS DE LA UTILIZACIÓN DE LA CRIPTOGRAFÍA DE CLAVE PÚBLICA.
USO DE LOS CERTIFICADOS DE CLAVE PÚBLICA
![Page 31: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/31.jpg)
UTILIZACIÓN DE LA CRIPTOGRAFÍA DE CLAVE PÚBLICA PARA AUTENTICACIÓN
A:->B: mensaje_aleatorioB:->A:cifar(KPrivadaB, mensaje_aleatorio);
• La entidad A quiere autenticar a B• La entidad B tiene un par de claves
(una pública y otra privada)• La entidad A conoce la clave pública
de B
![Page 32: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/32.jpg)
UTILIZACIÓN DE RESÚMENES DE MENSAJES
• La función Hash (resumen) toma un conjunto de datos de entrada y genera un resumen de longitud fija
• La función Hash es difícilmente reversible
• Se puede usar para proporcionar autenticación, integridad y firma digital
B:->A: msj_aleatorio, cifar(KPrB, H(msj_aleatorio));A:->B: msj_aleatorio
FIRMA DIGITAL
![Page 33: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/33.jpg)
MANEJO DE CLAVES PÚBLICAS (I)¿Por qué son necesarios los certificados?
A:->B: “Hola”B:->A:”Hola, Yo soy B”, KPuB<clave pública de B>A:->B: “Pruébala”B:->A:”Soy B”, cifrar(KPrB, H[“Soy B”]);
• Cualquier entidad puede suplantar a B• Basta únicamente tener una clave
pública y otra privada
![Page 34: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/34.jpg)
¿QUÉ ES UN CERTIFICADO?
• Un certificado digital (ó certificado de clave pública) establece la identidad de un usuario en un red
• Es equivalente a una tarjeta de crédito o a un carnet de conducir
• La estructura de un certificado está definida en el estándar ITU X.509
• En una red:– Los servidores pueden ser configurados para
permitir el acceso a usuarios con ciertos certificados
– los clientes pueden ser configurados para confiar en servidores que presentan ciertos certificados.
![Page 35: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/35.jpg)
¿QUÉ ES UN CERTIFICADO?Certificate:
Data:Version: v3 (0x2)Serial Number: 3 (0x3)Signature Algorithm: PKCS #1 MD5 With RSA EncryptionIssuer: OU=Ace Certificate Authority, O=Ace Industry, C=USValidity:
Not Before: Fri Oct 17 18:36:25 1997Not After: Sun Oct 17 18:36:25 1999
Subject: CN=Jane Doe, OU=Finance, O=Ace Industry, C=USSubject Public Key Info:
Algorithm: PKCS #1 RSA EncryptionPublic Key:
Modulus:00:ca:fa:79:98:8f:19:f8:d7:de:e4:49:80:48:e6:2a:2a:86:ed:27:40:4d:86:b3:05:c0:01:bb:50:15:c9:de:dc:85:19:22:43:7d:45:6d:71:4e:17:3d:f0:36:4b:5b:7f:a8:51:a3:a1:00:98:ce:7f:47:50:2c:93:36:7c:01:6e:cb:89:06:41:72:b5:e9:73:49:38:76:ef:b6:8f:ac:49:bb:63:0f:9b:ff:16:2a:e3:0e:9d:3b:af:ce:9a:3e:48:65:de:96:61:d5:0a:11:2a:a2:80:b0:7d:d8:99:cb:0c:99:34:c9:ab:25:06:a8:31:ad:8c:4b:aa:54:91:f4:15
Public Exponent: 65537 (0x10001)Extensions:
..........................................
Signature:Algorithm: PKCS #1 MD5 With RSA EncryptionSignature:
6d:23:af:f3:d3:b6:7a:df:90:df:cd:7e:18:6c:01:69:8e:54:65:fc:06:30:43:34:d1:63:1f:06:7d:c3:40:a8:2a:82:c1:a4:83:2a:fb:2e:8f:fb:f0:6d:ff:75:a3:78:f7:52:47:46:62:97:1d:d9:c6:11:0a:02:a2:e0:cc:2a:75:6c:8b:b6:9b:87:00:7d:7c:84:76:79:ba:f8:b4:d2:62:58:c3:c5:b6:c1:43:ac:63:44:42:fd:af:c8:0f:2f:38:85:6d:d6:59:e8:41:42:a5:4a:e5:26:38:ff:32:78:a1:38:f1:ed:dc:0d:31:d1:b0:6d:67:e9:46:a8:dd:c4
PROPIETARIO DELCERTIFICADO
AUTORIDAD DE CERTIFICACIÓN
CLAVE PÚBLICA DELPROPIETARIO
PERÍODO DE VALIDEZ
NÚMERO DE SERIE
FIRMA DE LA AUTORIDADDE CERTIFICACIÓN
![Page 36: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/36.jpg)
¿Cómo un cliente autentifica la identidad de un servidor?
¿Esta la fecha de hoy dentro del período de validez del certificado?
¿Es fiable la Autoridad de Certificaciónque firma el certificado?
¿Es válida la firma del certificado?
![Page 37: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/37.jpg)
¿Cómo un servidor autentifica la identidad de un cliente ?
¿Esta la fecha de hoy dentro del período de validez del certificado?
¿Es fiable la Autoridad de Certificaciónque firma el certificado?
¿Es válida la firma del certificado?
DATOS CLIENTE
FIRMA DIGITALCLIENTE
¿La clave pública del cliente valida su firma digital?
![Page 38: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/38.jpg)
MANEJO DE CLAVES PÚBLICAS (II)¿Por qué son necesarios los certificados?
• Un intruso no podría crear una firma digital cifrando con la clave privada de B
A:->B: “Hola”B:->A:”Hola, Yo soy B”, <Certificado de B>A:->B: “Pruébala”B:->A:”Soy B”, cifrar(KPrB, H[“Soy B”]);
A:->M: “Hola”M:->A:”Hola, Yo soy B”, <certificado de B>A:->M: “Pruebalo”M:->A: ?????????
![Page 39: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/39.jpg)
INTERCAMBIO DE CLAVES DE SESIÓN CON CRIPTOGRAFíA DE CLAVE PÚBLICA
A:->B:encrypt(KPuB, clave_sesión);
A:->B: “Hola”B:->A:” Yo soy B”, <certificado de B>A:->B: “Pruébalo”B:->A:” Soy B”, cifrar(KPrB, H[“Soy B”]);A:->B: “ok,Aquí esta la clave”, cifrar(KPuB,<clave sesión>);B:->A:cifrar(clave sesión, <algunos mensajes>);
• Un intruso podría suplantar a B y alterar los mensajes cifrados
![Page 40: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/40.jpg)
CÓDIGO DE AUTENTICACIÓN DE MENSAJES
A:->B: “Hola”B:->A:” Yo soy B”, <certificado de B>A:->B: “Pruébalo”B:->A:” Soy B”, cifrar(KPrB, H[“Soy B”]);A:->B: “ok,Aquí están las claves”, cifrar(KPuB,<clave_ sesión +clave_autenticación>);B:->A:cifrar(clave sesión, <algunos mensajes, MAC>);
MAC:=H[mensaje, clave secreta]
• El mensaje lleva adicionalmente un Código de Autenticación de Mensajes (MAC)
• Las entidades pares comparten una clave secreta
![Page 41: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/41.jpg)
PROTOCOLOS DE SEGURIDADEjemplo distribución clave de sesión con autenticación (mecanismos de desafío/respuesta y sellos de tiempo)
BA IDID
[ ]{ }TIDKETIDKE ASKBSK ba
[ ]TIDKE ASK b
[ ]1K NEs
[ ])N(fE 1K s
1.A->C:2.C->A:3.A->B:4.B->A:5.A->B:
C
A B
(2)
(3)
(5)(4)
(1)
•C y A comparte una clave Ka•C y B comparte una clave Kb
* Protocolo de Denning-Sacco
![Page 42: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/42.jpg)
MODELOS DE SEGURIDAD EN WEB
![Page 43: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/43.jpg)
• Conocer las distintos modelos prácticos de seguridad en Internet
• Estudiar los túneles de cifrado a través de Internet
• Describir los servicios de seguridad ofrecidos por el nivel SSL (Secure Sockets Layer)
• Analizar los distintos protocolos implicados en la capa SSL
• Estudiar los intercambios del Protocolo de Autenticacion SSL (Handshake protocol)
Objetivos:
Modelos de seguridad en WebNivel de seguridad SSL
![Page 44: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/44.jpg)
• Modelos de seguridad en Internet• Túneles de cifrado en Internet (IPSEC/IPV6)
• Servicios de seguridad SSL– Protocolo de transporte SSL (Record Protocol)– Protocolo de Autenticación SSL (Handshake
Protocol– Protocolos adicionales SSL
Índice:
Modelos de seguridad en WebNivel de seguridad SSL
![Page 45: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/45.jpg)
• Seguridad en el nivel de Red– IPSec /IPv6
• Seguridad en el nivel de transporte– Una capa adicional de seguridad transparente
a los niveles superiores• Seguridad a nivel de aplicación
– Orientado a aplicaciones específicas
MODELOS DE SEGURIDAD EN INTERNET
![Page 46: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/46.jpg)
COMPONENTES DE IPSEC
• Una Arquitectura (RFC 2401)– RFCs 1826, 1827, 2401, 2402, 2406 y 2408
• Servicios:- AUTENTICACIÓN (AH, Authentication header). RFC 2402
- CONFIDENCIALIDAD (ESP, Encapsulation Security Payload). RFC 2406
• Mecanismo de Gestión de Seguridad Basado en Asociaciones de Seguridad
- SPI (Security Parameters Index)
• Mecanismo De Intercambio Dinámico De Claves– IKE: Internet Key Interchange. RFC 2408
![Page 47: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/47.jpg)
IPSEC: TÚNEL DE CIFRADO A TRAVÉS DE LA INTERNET
DATOS
PC1 ROUTER IPSEC A
ROUTERIPSEC B
PC2
IPA IPB ESP IP1 IP2 TCP
INTERNET
COMUNICACIÓNEN CLARO
COMUNICACIÓNEN CLARO
PAQUETE IPSEC MODO TÚNEL
ESP: Encapsulation Security Payload
PC SIN IPSEC PC SIN IPSEC
CIFRADO
![Page 48: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/48.jpg)
IPSEC: CONFIDENCIALIDAD MODO TRANSPORTE
DATOS
PC1
IP1 IP2 ESP TCP
PAQUETE IPSEC MODO TRANSPORTE
ESP: Encapsulation Security Payload
INTERNET
COMUNICACIÓNSEGURAPC CON IPSEC
PC2
PC CON IPSEC
CIFRADO
![Page 49: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/49.jpg)
IPSEC: AUTENTICACIÓN MODO TRANSPORTE
|| H
IP||
SAB
H
COMPARAR
||SAB
DATOSIP1 IP2 AH TCP
DATOSIP1 IP2 AH TCP
INTERNET
AH: Authentication Header
AUTENTIFICADO EXCEPTO CAMPOS MUTABLES
![Page 50: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/50.jpg)
IPSEC: AUTENTICACIÓN MODO TÚNEL
DATOSIPA IPB AH IP1 IP2 TCP
AH: Authentication Header
AUTENTIFICADO EXCEPTO CAMPOS MUTABLES
INTERNET
![Page 51: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/51.jpg)
IPSEC: Confidencialidad /Autenticación
CABECERAORIGINAL IP
TCP/UDP DATOS
CABECERAORIGINAL IP
TCP/UDP DATOSCABECERAESP
FIN ESP
CIFRADO
PAQUETE ORIGINAL
MODOTRANSPORTE
MODOTÚNEL
ESP: Encapsulation Security Payload
AESP
ESP: Encapsulation Security PayloadAESP : Authentication ESP
AUTENTICACIÓN
NUEVACABECERA IP TCP/UDP DATOSCABECERA
ESPFIN ESP
CIFRADO
CABECERAORIGINAL IP
AESP
AUTENTICACIÓN
![Page 52: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/52.jpg)
IPSEC/IPV6 AUTHENTICATION HEADER
BITS
0 7 15 23 31Próx. Cabecera Long. Datos RESERVADO
SPI (Security Parameters Index)Número de secuencia
Datos de autenticación (longitud variable)
![Page 53: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/53.jpg)
IPSEC-IPV4 (AH)
![Page 54: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/54.jpg)
0 7 15 23 31
Carga de Datos (Payload data): Longitud variableRelleno (padding): 0 a 255 octetos
Long. relleno Próx. Cabecera
CIFR
AD
O
Datos de autenticación (longitud variable)
AU
TEN
TICA
DO
SPI (Security Parameters Index)Número de secuencia
BITS
IPSEC/IPV6Encapsulation Security Payload
![Page 55: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/55.jpg)
IPSEC-IPV4 (ESP)
![Page 56: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/56.jpg)
DATOSIPA IPB ESP IP1 IP2 TCP
CIFRADO
DATOSIP1 IP2 ESP TCP
CIFRADO
DATOSIP1 IP2 AH TCP
AUTENTIFICADO EXCEPTO CAMPOS MUTABLES
DATOSIPA IPB AH IP1 IP2 TCP
AUTENTIFICADO EXCEPTO CAMPOS MUTABLES
CABE.ORIGI. IP
TCP/UDP DATOSCABECERA
ESPFIN ESP
CIFRADO
AESP
AUTENTICACIÓN
NUEVACABE.IP
TCP/UDP DATOSCABE
ESPFIN
ESP
CIFRADO
CABECERAORIGI.IP
AESP
AUTENTICACIÓN
MODO TRANSPORTE MODO TUNEL
AH
ESP
ESPCON
AUTEN.
DATOS
![Page 57: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/57.jpg)
Cabecera FijaCabecera de extensión 1 PDU del Protocolo Superior... Cabecera de
extensión n
opcionalopcional
40 octetos 0 o más
Cabecera FijaCabecera Siguiente=TCP
SegmentoTCP
Cabecera FijaSiguiente=0
Cabecera de salto a saltoSiguiente=43
Cabecera de encaminamientoSiguiente=44
Cabecera de fragmentaciónSiguiente=51
Cabecera de encapsulado de seguridad
de la carga útil
Siguiente=60
Cabecera de autenticaciónSiguiente=50
Cabecera de opciones para
el destinoSiguiente=6
SegmentoTCP
Có digo de la cabecera Tipo de cabeceraCó digo de la cabecera Tipo de cabecera0 Salto a salto43 Encaminamiento44 Fragmentación
51 Autenticación50 Encapsulado de seguridad
de la carga útil60 Opciones para el destino
(Sin cabeceras de extensión opcionales)
IPV6 (AH-ESP)
![Page 58: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/58.jpg)
SEGURIDAD EN EL NIVEL DE TRANSPORTE
TCP/IP
HTTP
SECURE SOCKETS LAYER(SSL)
RECORD PROTOCOL
HandshakeProtocol
AlertProtocol
Change Cipher Spec
Protocol
FTP SMTP
![Page 59: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/59.jpg)
• Capa de seguridad adicional en la pila TCP/IP transparente a las aplicaciones
• El objetivo es proporcionar servicios de seguridad en Internet:– Autenticación de un Servidor:– Autenticación de un Cliente– Conexión cifrada segura cliente-servidor (confidencialidad)
SECURE SOCKETS LAYER, SSL (I)
![Page 60: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/60.jpg)
SECURE SOCKETS LAYER, SSL(II)
• SSL incluye dos sub-protocolos básicos:– Protocolo de Autenticación e intercambio de claves (Handshake Protocol)
– Protocolo de transporte (Record Protocol)• SSL incluye dos sub-protocolos adicionales:
– Protocolo de notificación de alertas (Alert Protocol)
– Protocolo de notificación actualización de cifradores (Change Cipher Spec Protocol)
![Page 61: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/61.jpg)
SESIÓN - CONEXIÓN SSL
• Sesión SSL:– Identificador de sesión, Método de Compresión, Cifradores, “Master Secret”,...
• Conexión SSL:– Claves CAM del Cliente y Servidor, Claves de Sesión del Cliente y Servidor, Números de secuencia...
![Page 62: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/62.jpg)
PROTOCOLO DE TRANSPORTE (I)(Record Protocol)
• Proporciona dos servicios a las conexiones SSL:– Confidencialidad
• El protocolo de Autenticación define las claves de sesión usadas en el cifrado/descifrado
– Integridad• El protocolo de Autenticación define la clave secreta utilizada en un Código de Autenticación de Mensajes
![Page 63: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/63.jpg)
PROTOCOLO DE TRANSPORTE (II)(Record Protocol)
DATOS DE APLICACIÓN
FRAGMENTOS
C
E
CAM
CABECERAZ PROTOCOLO TRANSPORTE
C: COMPRESIÓNE: ENCRIPTADOCAM: CÓDIGO DE AUTEN. MENSAJES
![Page 64: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/64.jpg)
PROTOCOLO DE TRANSPORTE (III)(Record Protocol)
MAC
DATOS(OPCIONALMENTE
COMPRIMIDOS)
LONGITUD DATOS
VERSIÓN Inf.
VERSIÓN Sup.
TIPO Contenido
CIFRADO
![Page 65: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/65.jpg)
• EL Protocolo de Autenticación permite:– Autentificarse mutuamente cliente y servidor– Negociar los algoritmos de Cifrado y MAC– Intercambiar las claves necesarias para proteger los datos
• EL Protocolo de Autenticación utiliza una conjunto de mensajes:– Los mensaje tiene tres campos:
• Tipo(1byte), Longitud (3bytes), parámetros (>=0 byte)– Tipos de mensajes:
• client_hello,server_hello, certificate, change_cipher_spec ....................
PROTOCOLO DE AUTENTICACIÓN (I)(Handshake Protocol)
![Page 66: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/66.jpg)
• EL Protocolo de Autenticación consta de cuatro fases:– Fase 1: Establecimiento de los parámetros de la comunicación
– Fase 2: Autenticación del servidor– Fase 3: Autenticación del cliente e intercambio de clave de sesión
– Fase 4: Fase final
PROTOCOLO DE AUTENTICACIÓN (II)
![Page 67: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/67.jpg)
PROTOCOLO DE AUTENTICACIÓN (III)
FASE 1
FASE 2
FASE 3
FASE 4
![Page 68: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/68.jpg)
• Mensaje “Client_Hello”:– Versión SSL– Número Aleatorio– Identificador de sesión– Familia de Cifradores soportados por el cliente– Métodos de compresión soportados por el cliente
• Mensaje “Server_Hello”:– Mismos parámetros que el mensaje “Client_Hello”– El servidor selecciona la familia de cifradores y
métodos de compresión de entre los propuestos por el cliente
FASE 1:Establecimiento Párametros de la Comunicación
![Page 69: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/69.jpg)
• Métodos de intercambio de clave– RSA (el más utilizado– Diffie-Hellman (dintintas variantes)
• Algoritmos de cifrado– RC4, RC2, DES, 3DES, IDEA
• Funciones Hash– MD5, SHA,....
• .........
FAMILIA DE CIFRADORES
![Page 70: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/70.jpg)
• Mensaje “Certificate”:– Certificado de clave pública X.509 del servidor
firmado por una CA. – Esta clave será utilizada para intercambiar una
clave de sesión• Mensaje “Server_Key_Interchange”
(opcional):– El servidor puede crear un par de claves
pública/secreta temporales.– En este mensaje envía al cliente un certificado
de la clave pública
FASE 2:Autenticación del servidor (I)
![Page 71: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/71.jpg)
• Mensaje “Certificate_Request” (opcional): – El servidor puede pedir un certificado al cliente – El mensaje incluye el tipo de certificado y una
lista de autoridades de certificación aceptables• Mensaje “Server_done”:
– Este mensaje no tiene parámetros– En este mensaje indica el fin de los mensajes
asociados al servidor
FASE 2:Autenticación del servidor (II)
![Page 72: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/72.jpg)
• Mensaje “Certificate” (obligatorio si es solicitado por el servidor):– El cliente envía un certificado al servidor si
éste se lo solicitó• Mensaje “Client_key_exchange”:
– El cliente genera una pre-master secret de 48 bytes cifrada con la clave pública del servidor
– El cliente y el servidor utilizan la pre-master secret para generar las claves de sesión y las claves MAC
FASE 3:Autenticación del cliente e intercambio de clave (I)
![Page 73: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/73.jpg)
• Mensaje “Certificate_Verify” (obligatorio si es solicitado por el servidor un certificado de cliente):– Este mensaje se envía junto con el anterior– Consta de una firma Hash que abarca los
mensajes anteriores. El cifrado se hace con la clave privada del cliente.
FASE 3:Autenticación del cliente e intercambio de clave (II)
![Page 74: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/74.jpg)
FASE 4: FIN DE LOS INTERCAMBIOS
• Mensaje “finished”:– Este mensaje se envía después de un mensaje
“change cipher spec”– Es el primer mensaje protegido con las claves
y algoritmos recién negociados– No se requiere reconocimiento de este
mensaje– Las entidades puede enviar información
confidencial después de enviar este mensaje
![Page 75: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/75.jpg)
PROTOCOLOS ADICIONALES SSL
• Protocolo de notificación de alertas (Alert Protocol)– Notificación de alertas a las entidades
• Incorrecto MAC, mensaje inesperado, parámetros ilegales en el protocolo de autenticación, certificados revocados o expirados, error al descomprimir datos...
– Los mensajes se componen de dos bytes• El primer byte indica el nivel de la alerta• El segundo byte contiene el código de la alerta
![Page 76: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/76.jpg)
• Protocolo de notificación actualización de cifradores (Change Cipher Spec Protocol)– Se trata de un solo mensaje de un solo byte de valor 1
– El propósito de este mensaje es actualizar los cifradores a utilizar en la conexión
PROTOCOLOS ADICIONALES SSL
![Page 77: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/77.jpg)
INICIO SESIÓN SSL
• En el cliente (navegador) el usuario pide un documento con una URL que comienza con “https”en vez de “http”
• El código del cliente reconoce la petición SSL y establece una conexión a través del puerto TCP 443 del servidor (en vez del puerto TCP 80, http)
• El cliente inicia los intercambios del Protocolo de Autenticación SSL utilizando como portador el Protocolo de Transporte– En un primer momento no hay mecanismos de cifrado ni
verificación de la integridad en la conexión TCP
![Page 78: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/78.jpg)
![Page 79: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/79.jpg)
![Page 80: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/80.jpg)
![Page 81: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/81.jpg)
![Page 82: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/82.jpg)
![Page 83: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/83.jpg)
![Page 84: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/84.jpg)
![Page 85: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/85.jpg)
![Page 86: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/86.jpg)
![Page 87: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/87.jpg)
![Page 88: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/88.jpg)
![Page 89: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/89.jpg)
![Page 90: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/90.jpg)
![Page 91: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/91.jpg)
![Page 92: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/92.jpg)
TLS (Transport Layer Security)
• Estándar RFC 2246 basado en SSLv3
• No puede interoperar con SSLv3– Diferente forma de obtener la Premaster Key
– El mensaje Certificate_verify se calcula de forma diferente
![Page 93: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/93.jpg)
SEGURIDAD EN EL NIVEL DE APLICACIÓN
IP
KERBEROS SMTP
TCPUDP
S/MIME SET
HTTP
PGP
![Page 94: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/94.jpg)
Servicios de SeguridadCorreo Electrónico
MSG
+[H(MSG)] KPrA+
Cert. A
KPrA: Clave Privada A KPuB: Clave Pública B
[ Ks ] KPubB+
Cert. A
CIFRADO
MSG
+[H(MSG)] KPrA
+
+
MSG
CIFRADO
[ Ks ] KPubB
ConfidencialidadAutenticaciónConfidencialidad +
Autenticación
![Page 95: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/95.jpg)
CORREO ELECTRÓNICO SEGURO
• (PGP) Pretty Good Privacy– Diseñado por P. Zimmermann (1995)– Estándar de hecho para ordenadores
personales– Código abierto. Varias versiones
• S/MIME (Secure Multipurpose Internet Mail Extensions)– Estándar de Internet– RFC 2632 …2643– Usa certificados X.509
![Page 96: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/96.jpg)
ESPECIFICACIÓN SET (Secure Electronic Transaction)
![Page 97: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/97.jpg)
Especificación SET
• Describir una forma segura de transacciones comerciales seguras por Internet
• Conocer los requisitos y aspectos claves contenidos en la especificación SET
• Analizar el concepto de firma Dual y su aplicación al comercio electrónico
• Estudiar las transacciones SET más comunes: Petición de compra, autorización de pago, cobro de la operación
Objetivos:
![Page 98: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/98.jpg)
• Requisitos y aspectos clave de la especificación SET
• Concepto de Firma Dual• Transacciones SET
– Petición de Compra– Autorización de pago– Cobro de la operación
Índice:
Especificación SET
![Page 99: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/99.jpg)
¿Qué es SET(Secure Electronic Transaction)?
• Es una especificación de seguridad diseñada para proteger las transacciones comerciales con tarjetas de crédito
• No es un sistema de pago• Es un conjunto de protocolos de seguridad que
permiten a los usuarios utilizar la infraestructura existente de pago con tarjeta en una red abierta como es Internet de forma segura
• Un gran número de entidades financieras y de Internet apoyan su desarrollo
![Page 100: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/100.jpg)
REQUISITOS SET• Proporcionar confidencialidad en el pago• Asegurar la integridad de todos los datos transmitidos• Asegura que el cliente de una transacción es el legitimo
usuario de una cuanta asociada• Proporciona autenticación de que un comerciante puede
aceptar transacciones con tarjeta• Asegurar el uso de las mejores técnicas criptográficas• Crear un protocolo que no dependa de mecanismos de
seguridad de nivel de transporte• Facilitar y animar la interoperatividad entre
proveedores de software y de red
![Page 101: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/101.jpg)
ASPECTOS CLAVES DE SET
• Confidencialidad de la Información– El comerciante no tiene acceso al número de la
tarjeta de crédito– La información va cifrada con DES
• Integridad de los datos– Firmas digitales RSA y códigos Hash
• Autenticación de la cuenta del cliente y de los comerciantes– Certificados Digitales X.509v3
![Page 102: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/102.jpg)
PARTICIPANTES SET
• El cliente (Cardholder)• El comerciante (Merchant)• La institución emisora de la tarjeta (issuer)
• El Banco (Acquirer-Payment Gateway)• La autoridad de Certificación (CA, Certification Authority)
![Page 103: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/103.jpg)
RESUMEN SECUENCIA EVENTOS SET
• Un cliente abre una cuenta y obtiene una tarjeta de crédito
• El cliente recibe un certificado digital• Los comerciantes tienen sus propios certificados• Un cliente hace un pedido• El comerciante es verificado• Se envía la orden y el pago• El comerciante pide autorización de pago• El comerciante confirma la orden y proporciona
los servicios• El comerciante cobra sus servicios al banco
![Page 104: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/104.jpg)
FIRMA DUAL
IT: Información Transacción
HITH
H E
H
IP: Informacióndel Pago
HIP
HP FIRMA DUAL
ClientePrK
( ) ( )( )[ ]IMHIPHHEFDClientePrK=HIP: Hash IP
HIT: Hash ITHP: Hash Pedido
![Page 105: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/105.jpg)
VERIFICACIÓN FIRMA DUALCOMERCIANTE
FIRMA DUAL
HIP: Hash IP (Información Pago)HP: Hash Pedido
HIP
D
ClientePuK
IT: Información Transacción
HP
HP
COMPARAR
H
H
![Page 106: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/106.jpg)
VERIFICACIÓN FIRMA DUALENTIDAD BANCARIA
FIRMA DUAL
HIT: Hash IT (Información Transacción)HP: Hash en Pedido
IP: Informacióndel Pago
HIT
D
ClientePuK
HP
HP
COMPARAR
H
H
![Page 107: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/107.jpg)
TRANSACCIONES SET (I)
Petición de compra (Purchase Request)Autorización de pago (Payment authoritation)Cobro por el Comerciante (Payment Capture)..........
![Page 108: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/108.jpg)
CLIENTE COMERCIANTE
BANCO
INICIAR PETICIÓN
RESPUESTA INICIO PETICIÓN
PETICIÓN DE COMPRA
RESPUESTA PETICIÓN DE COMPRA
TRANSACCIONES SET (II)
![Page 109: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/109.jpg)
PETICIÓN DE COMPRA
INICIAR PETICIÓN
RESPUESTA PETICIÓN DE COMPRA
PETICIÓN DE COMPRA
RESPUESTA INICIO PETICIÓN
COMERCIANTEENVÍA
CERTIFICADOS
CLIENTEINICIA
PETICIÓN
CLIENTERECIBE
RESPUESTAY ENVÍAPETICIÓN COMERCIANTE
PROCESAPETICIÓNCLIENTE
RECIBERESPUESTA
PET. COMPRA
CLIENTE COMERCIANTE
![Page 110: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/110.jpg)
Msj. “Iniciar Petición”Cliente->Comerciante
MENSAJE INICIAR PETICIÓN
•Tipo de Tarjeta de Crédito•Identificador de uso único: N1•Identificación Bancaria...
![Page 111: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/111.jpg)
MENSAJE DE RESPUESTAINICIO PETICIÓN
Msj.“Respuesta Inicio Petición”Comerciante ->Cliente
+
+
FIRMA
E
eComerciantPrK
HR RESPUESTA
IdT, N1, N2,..RESPUESTA
[ ])spuesta(ReHKspuestaReFirmaeComerciantPr+=
![Page 112: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/112.jpg)
Msj.“Respuesta Inicio Petición”Verificaciones en el Cliente
+
+
FIRMA
VERIFICACIÓN FIRMA
VERIFICACIÓN CERTIFICADO
VERIFICACIÓN CERTIFICADO
MENSAJE DE RESPUESTAINICIO PETICIÓN
![Page 113: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/113.jpg)
Msj. “Petición de Compra”Cliente->Comerciante
IP+FD+HIT
IT: Información Transferencia
+
+
+
FIRMA DUAL
+
+
ENVOLTURA DIGITAL 1
HIP
MENSAJE DE PETICIÓN DE COMPRAIP: Información
del Pago
FIRMA DUAL+
HIT+
E
1SK
E
Banco2PuK
HIP: Hash IPHIT: Hash IT
1SK
![Page 114: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/114.jpg)
Msj. “Petición de Compra”Verificaciones del Comerciante
IP+FD+HIT
IT: Información Transferencia
+
+
+
FIRMA DUAL
+
+
ENVOLTURA DIGITAL
HIP
INFORMACIÓNPARA EL BANCO
H
HHIM
HP
D
ClientePuK
HP
COMPARAR
MENSAJE DE PETICIÓN DE COMPRA
VERIFICACIÓN CERTIFICADO
1SK
![Page 115: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/115.jpg)
Msj. “Respuesta Petición Compra”Comerciante ->Cliente
[ ])Compra_Pet_s(ReHKCompra_Pet_sReFirmaeComerciantPr+=
FIRMA
+E
eComerciantPrK
H
IdT, N1, ..RES. PET. COMPRA
H RES. PET. COMPRA
MENSAJE DE RESPUESTA DEPETICIÓN DE COMPRA
![Page 116: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/116.jpg)
Msj. “Respuesta Petición Compra”Verificaciones en el Cliente
FIRMA
+
MENSAJE DE RESPUESTA DEPETICIÓN DE COMPRA
[ ])Compra_Pet_s(ReHKCompra_Pet_sReFirmaeComerciantPr+=
D eComerciantPuKH
H RES. PET. COMPRA H RES. PET. COMPRA
VERIFICACIÓN FIRMA
VERIFICACIÓN CERTIFICADO
![Page 117: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/117.jpg)
AUTORIZACIÓN DE PAGO
PETICIÓN DE AUTORIZACIÓN BANCOPROCESAPETICIÓN
AUTORIZACIÓN
COMERCIANTEPIDE
AUTORIZACIÓN
RESPUESTA DE AUTORIZACIÓN
BANCOCOMERCIANTE
COMERCIANTEPROCESARESPONDE
![Page 118: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/118.jpg)
Msj. “Petición de Autorización” Comerciante ->Banco
+
+
+
FIRMA
E ENVOLTURA DIGITAL 2
2SK
E
Banco2PuK
MENSAJE DE PETICIÓN DE AUTORIZACIÓN
+
+
2SK
IP+FD+HIT
+ENVOLTURA DIGITAL 1
1SK
E
eComerciantPrK
H
IdT,Inf Transac., ..PET. AUTORIZACIÓN
H PET. AUTORIZACIÓN
[ ])Aut_Pet(HKAut_PetFirmaeComerciantPr+=
![Page 119: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/119.jpg)
Msj. “Petición de Autorización” Verificaciones en el Banco
IP+FD+RIM++
+
+ENVOLTURA DIGITAL 2
+
+
MENSAJE DE PETICIÓN DE AUTORIZACIÓN
VERIFICACIÓN CERTIFICADOS
IP: Informacióndel Pago
FIRMA DUAL
HITD
1sK
ClientePuK
HP
HP
COMPARAR
FIRMA
DENVOLTURA DIGITAL 1
H
D
2sK
DBanco2PrK
DeComerciant1PuK
Banco2PrK
2SK
VERIFICACIÓN FIRMA
1SK
![Page 120: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/120.jpg)
Msj. “Respuesta de Autorización” Banco ->Comerciante
+
+
ENVOLTURA DIGITAL 3
EFIRMA
3SK
MSJ. DE RESPUESTA DE AUTORIZACIÓN
+ENVOLTURA DIGITAL 4
FIRMA
4SK
BancoPuK 2
eComerciant2PuKTOKEN
AUTORI.
3SK
4SK
EH
AUTORIZACIÓN_PAGO
H. RES. AUTORI. PAGO
Banco1PrK
EH
TOKEN_PAGO
H. TOKEN_PAGO
Banco1PrK
E
E
E
![Page 121: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/121.jpg)
+
+
ENVOLTURA DIGITAL 3
MENSAJE DE RESPUESTA DE AUTORIZACIÓN
+ENVOLTURA
DIGITAL 4
VERIFICACIÓN CERTIFICADO
FIRMA
3SK
DeComerciant2PrK
DBanco1PuK
TOKEN
AUTORI.
3SK
4SK
Msj. “Respuesta de Autorización” Verificaciones del Comerciante
VERIFICACIÓN FIRMA
![Page 122: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/122.jpg)
COBRO DE LA OPERACIÓN
PETICIÓN DE COBRO BANCOPROCESAPETICIÓNDE COBRO
COMERCIANTESOLICITA EL
COBRO
RESPUESTA DE PET. COBRO
BANCOCOMERCIANTE
COMERCIANTERECIBE
RESPUESTA
![Page 123: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/123.jpg)
Msj. “Petición de Cobro” Comerciante->Banco
MENSAJE DE PETICIÓN DE COBRO
FIRMA
E
5SK
EBanco2PuK
+
+
ENVOLTURA DIGITAL 5
+ENVOLTURA
DIGITAL 4
TOKEN
PET. COBRO
+
+
5SK
4SK
eComerciant1PrK
EH
PET_COBRO
H. PET_COBRO
![Page 124: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/124.jpg)
MENSAJE DE PETICIÓN DE COBRO
+
+
ENVOLTURA DIGITAL 5
+ENVOLTURA
DIGITAL 4
TOKEN
PET. COBRO
+
+
FIRMA
5SK
DBanco2PrK
DeComerciant1PuK
PETICIÓN_COBRO
4SK
DBanco2PrK
D TOKEN
VERIFICACIÓN CERTIFICADO
VERIFICACIÓN CERTIFICADO
COMPARAR DATOS
5SK
4SK
Msj. “Petición de Cobro” Verificaciones Banco
VERIFICACIÓN FIRMA
![Page 125: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/125.jpg)
Msj. “Respuesta Petición de Cobro” Banco -> Comerciante
MENSAJE DE RESPUESTADE PETICIÓN DE COBRO
FIRMA
E
6SK
E
eComerciant2PuK
+ENVOLTURA
DIGITAL 6
RES_PET_COBRO
+6SK
Banco1PrK
EH
RES_PET_COBRO
H. RES_PET_COBRO
![Page 126: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/126.jpg)
MENSAJE DE PETICIÓN DE COBRO
+ENVOLTURA
DIGITAL 6
RES_PET_COBRO
+
VERIFICACIÓN CERTIFICADO
FIRMA
6SK
DeComerciant2PrK
DBanco1PuK
6SK
Msj. “Respuesta Petición de CobroVerificaciones Comerciante
VERIFICACIÓN FIRMA
![Page 127: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/127.jpg)
REDES INTERNAS CORPORATIVAS SEGURAS
![Page 128: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/128.jpg)
Redes Internas Corporativas
• Presentar la estructura básica de una red corporativa segura
• Introducir el concepto de “cortafuegos” como elemento esencial de seguridad en un red corporativa
• Analizar las decisiones básicas de diseño de un cortafuegos
• Estudiar varios ejemplos de cortafuegos ampliamente utilizados
Objetivos:
![Page 129: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/129.jpg)
• Traslación de direcciones IP privadas• Estructura de una red Corporativa segura• Beneficios y limitaciones de los Cortafuegos• Diseño de un cortafuegos• Ejemplos de cortafuegos:
– Encaminador con filtrado de paquetes– Encaminador de filtrado de paquetes+Pasarela de Nivel
de Aplicación– Encaminador Externo+pasarela de Nivel de
Aplicación+encaminador Interno
Índice:Redes Internas Corporativas
![Page 130: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/130.jpg)
NAT(Network Address Translation)
TABLA NAT
10.0.0.1 192.100.100.1
INTERNET
10.0.0.1
RED CORPORATIVA
Destino: 128.100.10.1Origen: 10.0.0.1
Destino: 128.100.10.1Origen: 192.100.100.1
Destino: 192.100.100.1Origen: 128.100.10.1
Destino: 10.0.0.1Origen: 128.100.10.1
128.100.10.1
![Page 131: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/131.jpg)
NPAT(Network Adress Port Translation)
10.0.0.510.0.0.110.0.2.6
21023386
26600
128.10.19.20128.10.19.20
207.200.75.200
808021
140031401014012
tcptcptcp
Dir. IPPrivadas
PuertosPrivadas
Dir. IPDestino
PtosDestino Ptos Nat Protocolo
10.0.0.5, 21023, 128.10.19.20, 80, TCP
RED CORPORATIVA
10.100.10.6 (26600)
10.100.10.1 (386)
IP:PÚBLICA: 201.100.100.1
128.10.19.20 (80)10.100.10.5 (21023)
207.200.75.200 (21)
INTERNET
201.100.100.1, 14003, 128.10.19.20, 80, TCP 10.0.0.1, 386, 128.10.19.20, 80, TCP 201.100.100.1, 14010, 128.10.19.20, 80, TCP
10.0.2.6, 26600, 207.200.75.200, 21, TCP 201.100.100.1, 14012, 207.200.75.200, 21, TCP
![Page 132: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/132.jpg)
CORTAFUEGOS DE INTERNET(Internet Firewalls)
INTERNET
RED CORPORATIVAOFICINAS REMOTAS
OFICINAS REMOTASFRAME RELAYMODEMS
PERÍMETRO DE SEGURIDADSISTEMA DECORTAFUEGOS
LÍNEAS DEDICADA
• Un cortafuegos es un sistema o conjunto de sistemas que implementa una política de seguridad entre la red de una organización e Internet
![Page 133: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/133.jpg)
BENEFICIOS DE LOS CORTAFUEGOS
• Protege a los sistemas internos de los ataques de otros sistemas de Internet– Protege servicios vulnerables– Filtra paquetes
• Es un lugar ideal para:– La monitorización del tráfico– Situar un NAT (Network Address Translator)– Localizar servidores WWW y FTP
![Page 134: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/134.jpg)
LIMITACIONES DE LOS CORTAFUEGOS
• No puede proteger de conexiones a Internet desde dentro de la organización ajenas al propio cortafuegos
• No pueden proteger de usuarios legítimos o descuidados de la red corporativa
• No pueden proteger de la transferencia de software o ficheros infectados con virus
• No puede proteger frente a ataques conducidos por datos
![Page 135: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/135.jpg)
DECISIONES DE DISEÑO DE UN CORTAFUEGOS (I)
• Comportamiento del Cortafuegos– “Todo lo no específicamente permitido es denegado”
– “Todo lo no específicamente denegado es permitido ”
• La política de seguridad de la Organización– Análisis de las necesidades del negocio y evaluación de riesgos
![Page 136: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/136.jpg)
DECISIONES DE DISEÑO DE UN CORTAFUEGOS (II)
• Coste financiero• Sistemas componentes del cortafuegos (uno o más de uno):– Encaminador con filtrado de paquetes– Pasarela de nivel de aplicación (o servidor proxy)
– Pasarela de nivel de circuito
![Page 137: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/137.jpg)
ENCAMINADOR CON FILTRADO DE PAQUETES (I)
• El encaminador toma la decisión de permitir o denegar cada datagrama recibido
• Hay flujo directo de paquetes entre sistemas internos y externos a la organización
• El encaminador examina la cabecera de cada datagrama y aplica sus reglas de filtrado
• Las reglas de filtrado se basan en:– Las direcciones IP origen y destino– Protocolo de encapsulado (TCP, UDP, ICMP..)– Puerto TCP/UDP– Interfaz entrante /saliente
![Page 138: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/138.jpg)
ENCAMINADOR DE FILTRADO DE PAQUETES (II)
ip:A.B.C.1 ip:H.J.K.3ip:A.B.C.3 ip:H.J.K.1
ENCAMINADOR FILTRADO PAQUETES
CONEXIÓN DIRECTA
IP DEST.:H.J.K.1IP ORIGEN:A.B.C.1 DATOS IP DEST.:H.J.K.1IP ORIGEN:A.B.C.1 DATOS
IP DEST.:A.B.C.1IP ORIGEN:H.J.K.1 DATOS IP DEST.:A.B.C.1IP ORIGEN:H.J.K.1 DATOS
![Page 139: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/139.jpg)
BENEFICIOS Y LIMITACIONES DE LOS ENCAMINADORES CON FILTRADO DE
PAQUETES
• VENTAJAS:– Transparentes a usuarios y aplicaciones
• No requiere ni usuarios especializados ni software específico en cada sistema
• LIMITACIONES:– El configurar los filtros puede ser una tarea
compleja– El rendimiento de un encaminador se degrada al
aumentar el número de filtros– No proporciona suficiente control sobre el
tráfico
![Page 140: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/140.jpg)
PASARELA DE NIVEL DE APLICACIÓN (“BASTION HOST”) (I)
• Permite implantar una política de seguridad más estricta
• No hay flujo directo de paquetes entre sistemas internos y externos a la organización
• Un código de propósito especial (servidor Proxy) se encuentra instalado por cada aplicación– Cualquier usuario que quiera acceder a un servicio se
tiene que conectar primero al “servidor proxy”– Este código es configurado por el Administrador de
Red para permitir aquellos aspectos aceptables mientras deniega otros
![Page 141: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/141.jpg)
PASARELA DE NIVEL DE APLICACIÓN (“BASTION HOST”) (II)
ip:A.B.C.1 ip:H.J.K.3ip:A.B.C.3 ip:H.J.K.1
GATEWAY DE NIVELDE APLICACIÓN
CONEXIÓN INDIRECTA 2 SOCKETS
IP DEST.:A.B.C.3IP ORIGEN:A.B.C.1 DATOS IP DEST.:H.J.K.1IP ORIGEN:H.J.K.3 DATOS
IP DEST.:A.B.C.1IP ORIGEN:A.B.C.3 DATOS IP DEST.:H.J.K.3IP ORIGEN:H.J.K.1 DATOS
SERVIDOR PROXY
![Page 142: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/142.jpg)
• La mejora de seguridad implica:– Un incremento en el coste de la plataforma
hardware– Coste del código del “servidor Proxy”– Decremento del nivel de servicio proporcionado
a los usuarios– Pérdida de transparencia
PASARELA DE NIVEL DE APLICACIÓN (“BASTION HOST”) (III)
![Page 143: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/143.jpg)
BENEFICIOS Y LIMITACIONES DE LA PASARELA DE NIVEL DE APLICACIÓN
• VENTAJAS:– El administrador de Red tiene completo control sobre
cada servicio– Soportan autenticación de usuario– Proporcionan log detallados– Las reglas de filtrado a nivel de aplicación son más
fáciles de configurar y chequear que a nivel de paquete
• LIMITACIONES:– Un software especializado tiene que cargarse en cada
sistema para que acceda a los servicios proxy– Se establecen dos conexiones hasta llegar al sistema
final
![Page 144: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/144.jpg)
PASARELA DE NIVEL DE CIRCUITO
• Es una función especializada que puede ser realizada por una pasarela de nivel de aplicación
• Simplemente retransmite conexiones TCP sin realizar ningún procesamiento adicional de paquete o filtrado
• La conexión parece que se origina desde el cortafuegos ocultándose la información de la red protegida
![Page 145: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/145.jpg)
INTERNET
ROUTER DEFILTRADO DE
PAQUETES
RED PRIVADA CORPORATIVA
SISTEMAS INTERNOSDE LA ORGANIZACIÓN
Ejemplo 1 Cortafuegos: (I)ENCAMINADOR DE FILTRADO DE PAQUETES
![Page 146: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/146.jpg)
• Se trata de un simple encaminador situado entre la red privada y la Internet
• Reglas de filtrado:– Los sistemas de la red Interna tiene acceso a
Internet– Los sistemas externos tienen limitado el acceso a
los sistemas de la red Interna– El comportamiento de estos encaminadores es
típicamente: “todo lo no específicamente permitido es denegado”
Ejemplo 1 Cortafuegos: (II)ENCAMINADOR DE FILTRADO DE PAQUETES
![Page 147: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/147.jpg)
Ejemplo 1 Cortafuegos: (III)ENCAMINADOR DE FILTRADO DE PAQUETES
• Beneficios– Coste reducido– Transparente al usuario
• Limitaciones– Exposición a ataques por filtros mal configurados– Ataques canalizados a través de servicios
permitidos– Cada sistema individual de la red privada necesita
una sofisticada autenticación de usuarios
![Page 148: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/148.jpg)
Ejemplo 2 Cortafuegos: (I)ENCAMINADOR DE FILTRADO DE
PAQUETES+PASARELA DE NIVEL DE APLICACIÓN
PASARELA DE NIVELDE APLICACIÓN
SERVIDORES PROXY
SERVIDOR DEINFORMACIÓN
ENCAMINADORCON FILTRADO DE PAQUETES
RED PRIVADA CORPORATIVA
SISTEMAS INTERNOSDE LA ORGANIZACIÓN
INTERNET
![Page 149: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/149.jpg)
• Mayor nivel de seguridad:– Implementa la seguridad a nivel de red
(filtrado de paquetes) y a nivel de aplicación (servicios proxy)
– Un intruso tiene que entrar en dos sistemas para comprometer la seguridad
Ejemplo 2 Cortafuegos: (II)ENCAMINADOR DE FILTRADO DE
PAQUETES+PASARELA DE NIVEL DE APLICACIÓN
![Page 150: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/150.jpg)
• Las reglas de filtrado del encaminador están configuradas de modo que:– Los sistemas de Internet solo pueden acceder
a la P.N.A (Pasarela de Nivel de Aplicación).El tráfico dirigido a otras máquinas está bloqueado
– Respecto a los sistemas internos:• La política de seguridad de la organización
determina si se les permite acceder directamente a la Internet o si tienen que usar los servidores proxy de la P.N.A
• El encaminador puede ser forzado a aceptar solo el tráfico que venga del P.N.A
Ejemplo 2 Cortafuegos: (III)ENCAMINADOR DE FILTRADO DE
PAQUETES+PASARELA DE NIVEL DE APLICACIÓN
![Page 151: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/151.jpg)
• Un servidor público de información puede ser situado en el segmento compartido entre el encaminador y la P.N.A.– Si se requiere un nivel moderado de
seguridad el router puede ser configurado para permitir acceder a los usuarios externos directamente
– Si se requiere un mayor de seguridad la P.N.A. puede implementar servicios proxy para que los usuarios externos accedan a la P.N.A. antes de acceder al Servidor de Información
Ejemplo 2 Cortafuegos: (IV)ENCAMINADOR DE FILTRADO DE
PAQUETES+PASARELA DE NIVEL DE APLICACIÓN
![Page 152: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/152.jpg)
PASARELA DE NIVELDE APLICACIÓN
SERVIDORES PROXY
SERVIDOR DEINFORMACIÓN
ENCAMINADOR DE FILTRADODE PAQUETES
RED PRIVADA CORPORATIVA
SISTEMAS INTERNOSDE LA ORGANIZACIÓN
INTERNET
• Se puede conseguir un nivel adicional de seguridad usando una PSN dual• La topología física fuerza a que todo el tráfico destinado a la red privada
pase por la PNA
Ejemplo 2 Cortafuegos: (V)ENCAMINADOR DE FILTRADO DE
PAQUETES+PASARELA DE NIVEL DE APLICACIÓN
![Page 153: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/153.jpg)
Ejemplo 3 Cortafuegos: (I)ENCAMINADOR EXTERNO+PASARELA DE NIVEL
DE APLICACIÓN+ENCAMINADOR INTERNO
PASARELA DE NIVELDE APLICACIÓN
SERVIDOR DEINFORMACIÓN
ENCAMINADOR EXTERNO
RED PRIVADA CORPORATIVAINTERNET
SERVIDORES PROXY
MODEMS
ENCAMINADOR INTERNO
ZONA DESMILITARIZADADMZ (DEMILITARIZED ZONE)
![Page 154: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/154.jpg)
• Es el cortafuegos más seguro– Soporta seguridad a nivel de red, de aplicación y
además protege los sistemas internos de forma más eficiente
• Se define una zona de la red (DMZ, Demilitarized Zone) donde el Administrador sitúa:– La pasarela de Nivel de Aplicación– La pila de módems– Los servidores de información
Ejemplo 3 Cortafuegos: (II)ENCAMINADOR EXTERNO+PASARELA DE NIVEL
DE APLICACIÓN+ENCAMINADOR INTERNO
![Page 155: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/155.jpg)
• La red DMZ es una red pequeña y aislada situada entre la red privada e Internet
• La red DMZ está configurada de modo que:– Los sistemas de Internet y de la red privada
pueden acceder a un número limitado de sistemas de la red DMZ
– La transmisión directa de tráfico a través de la red DMZ está prohibido
Ejemplo 3 Cortafuegos: (III)ENCAMINADOR EXTERNO+PASARELA DE NIVEL
DE APLICACIÓN+ENCAMINADOR INTERNO
![Page 156: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/156.jpg)
• El encaminador externo:– Protege de los ataques estándar– Está configurado de modo que:
• Permite que los sistemas externos solo accedan a la P.N.A. (y al Servidor de Información)
• Respecto al tráfico de salida solo acepta aquél que le llega del PNA
• El encaminador interno proporciona una segunda línea de defensa:– Solo acepta tráfico externo que venga de la P.N.A.– Está configurado de modo que:
• Permite que los sistemas internos solo accedan a la P.N.A. (y al Servidor de Información)
Ejemplo 3 Cortafuegos: (IV)ENCAMINADOR EXTERNO+PASARELA DE NIVEL
DE APLICACIÓN+ENCAMINADOR INTERNO
![Page 157: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/157.jpg)
• BENEFICIOS– Un intruso debe acceder a tres sistemas para
entrar en la red privada– Los sistemas privados son invisibles a Internet
• Solo son accesibles los sistemas de la DMZ– Los sistemas internos acceden a Internet siempre
a través de la P.N.A.– Se evita tener una P.N.A. dual
Ejemplo 3 Cortafuegos: (V)ENCAMINADOR EXTERNO+PASARELA DE NIVEL
DE APLICACIÓN+ENCAMINADOR INTERNO
![Page 158: Tecnologías y Servicios de Seguridad en Internetlmengual/ARQ_REDES/ArqSeg.pdf · and Practice”. W. Stallings, Prentice Hall. 1995 ... un resumen de 128 bits](https://reader030.fdocuments.mx/reader030/viewer/2022021620/5bd6263f09d3f2513e8d2eaa/html5/thumbnails/158.jpg)
CONCLUSIONES
• No hay una solución única para el diseño e implementación de un cortafuegos
• La decisión de una organización estará motivada por:– La política de seguridad, el coste, las potenciales amenazas etc