2.1 Tecnologias de Encriptacion
La tecnología de encriptación permite la transmisión segura de información a través de internet, al codificar los datos transmitidos usando una fórmula matemática que “desmenuza” los datos. Sin el decodificador adecuado, la transmisión luciría como un texto sin ningún sentido, el cual resulta completamente inútil.
La tecnología de encriptación se usa para una variedad de aplicaciones, tales como: comercio electrónico, envío de correo electrónico y protección de documentos confidenciales.
La encriptación básica envuelve la transmisión de datos de una parte a la otra. Quien envía la información la codifica al “desmenuzarla” y enviarla de esta manera. El receptor decodifica los datos con el decodificador adecuado, para poder así leerla y usarla.
La efectividad, o nivel de seguridad, de la encriptación se mide en términos del tamaño de la clave (mientras más larga es la clave, mayor sería el tiempo que le tomaría a una persona sin el decodificador correcto para decodificar el mensaje). Esto se mide en bits (por ejemplo, el nivel de encriptación utilizado por los sistemas de banca en línea en el país es de 40-bits, mientras que el nivel de encriptación de Citibank Online es de 128-bits). Para una clave de 40-bits existen 240 posibles combinaciones distintas. Para una clave de 128-bits (el nivel de encriptación utilizado en Citibank Online) existen 2128 posibles combinaciones distintas. En opinión de Netscape, la encriptación de 128-bits es 309.485.009.821.345.068.724.781.056 veces más poderosa que la encriptación de 40-bits.
2.2 Validacion Firmas Digitales
La Firma Digital es una modalidad de firma electrónica, resultado de una operación matemática que utiliza algoritmos de criptografía asimétrica y permite inferir, con seguridad, el origen y la integridad del documento.
Procedimiento:
1. Cálculo del resumen del mensaje: Un valor de “hash” del mensaje (comúnmente denominado resumen del mensaje o “mensaje digest”) es calculado por la aplicación de un algoritmo criptográfico de hashing (Ej. MD2, MD4, MD5, SHA1, etc.). El valor de hash calculado de un mensaje es una secuencia de bits, usualmente con un tamaño fijo, extraído de alguna forma del mensaje.
2. Cálculo de la firma digital: La información obtenida en el primer paso (resumen del mensaje) es cifrada con la llave privada de la persona que firma el mensaje y así un el valor que es obtenido conforma la firma digital. Para el cálculo de la firma digital de un determinado resumen es utilizado un algoritmo critpográfico. Los algoritmos frecuentemente utilizados son RSA (basado en la teoría de los números), DSA (basado en la teoría de los logaritmos discretos) o el ECDSA (basado en la teoría de las curvas elípticas).
Verificación de la firma digital
La tecnología de la firma digital permite al receptor de un mensaje, con una firma digital, verificar su integridad. El proceso de verificación busca determinar si un mensaje fue firmado por la llave privada que corresponde a una dada llave pública. La verificación de la firma digital no puede determinar si un mensaje fue firmado por una determinada entidad, para ello se precisaría obtener la llave pública de alguna manera segura (CD, o procedimientos estipulados).
Procedimiento:
1. Cálculo del valor corriente del hash
Calcular un valor de hash del mensaje firmado: para este cálculo es usado el mismo algoritmo tal cual fue aplicado en el proceso de generación de la firma digital. El valor obtenido es denominado valor de hash corriente, pues él es creado a partir del estado actual del mensaje.
2. Calcular el valor original del hash
La firma digital es descifrada con el mismo algoritmo utilizado durante la generación de la firma digital. El descifrado es realizado con la llave pública asociada a la llave privada utilizada durante la firma del mensaje. Como resultado, se obtiene el valor original de hash que fue calculado del mansaje original durante el primer paso de la creación de la firma digital (el valor original del resumen del mensaje – valor de hash).
3. Comparar el valor corriente original de hash
Comparar el valor corriente del hash obtenido en el primer paso con el valor original del hash obtenido en el segundo paso. Si los dos valores son idénticos, prueba que el mensaje fue firmado con la llave privada que corresponde a la llave pública usada en la certificación.
Certificado Digital
El certificado digital es un documento conteniendo datos de identificación de la persona o institución que desea comprobar su propia identidad como así también confirmar la identidad de terceros.
Los certificados digitales vinculan un par de llaves electrónicas que pueden ser usadas para criptografiar y firmar información digital. Usados en conjunto con la criptografìa, éstos proveen una solución de seguridad que permiten asegurar la identidad de una o de todas las partes comprometidas en una transacción.
Los certificados digitales evitan tentativas de substitución de una llave pública por otra. Para evitar que esto ocurra, se hace necesario el uso de certificados digitales de llave pública, ya que estos garantizan seguridad y autenticidad a aquellos que acceden a redes inseguras, previniendo el acceso a datos confidenciales.
El certificado del destinatario contiene algo más que su llave pública, contiene información sobre el destinatario como: su nombre, dirección, etc. Es firmado por alguien en quien el origen deposita su confianza denominada autoridad de certificación (Certification Authority), que funciona como un registro electrónico.
El certificado digital funciona de la siguiente forma:
Se debe localizar la llave pública de la persona con quien se desea comunicar y Se debe obtener una garantía de que la llave pública encontrada sea proveniente del destinatario.
2.3 Firewalls y Virtual Private Network , (VPN)
Un cortafuego (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.
Los cortafuegos pueden ser implementados en hardware o software, o una combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. También es frecuente conectar al cortafuegos a una tercera red, llamada Zona desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior. Un cortafuegos correctamente configurado añade una protección necesaria a la red, pero que en ningún caso debe considerarse suficiente. La seguridad informática abarca más ámbitos y más niveles de trabajo y protección.
2.4 Protocolos de Seguridad
Un escenario típico consiste de un número de principales,
tales como individuos, compañías, computadoras, lectores de tarjetas magnéticas, los cuales se comunican usando una variedad de canales (teléfono, correo electrónico, radio . . . ) o dispositivos físicos (tarjetas bancarias, pasajes, cédulas . . . ).
Un protocolo de seguridad define las reglas que gobiernan estas comunicaciones, diseñadas para que el sistema pueda soportar ataques de carácter malicioso.
Protegerse contra todos los ataques posibles es generalmente muy costoso, por lo cual los protocolos son diseñados bajo ciertas premisas con respecto a los riesgos a los cuales el sistema está expuesto.
Existen varios protocolos posibles. Las distintas compañías que instalan y administran este tipo de redes elige unos u otros protocolos. En todos los casos se cran túneles entre origen y destino. Dentro de estos túneles viaja la información, bien por una conexión normal (en este caso no se encriptan los datos) o bien por una conexión VPN. El protocolo IP Sec es uno de los más empleados. Este se basa en GRE que es un protocolo de tunneling. Este protocolo también se utiliza de forma conjunta con otros protocolos como PPTP.
Generic Routing Encapsulation (GRE 47)
Point-to-Point Tunneling Protocol (PPTP)
IP Sec
Protocolo de tunelado nivel 2 (L2TP)
Secure shell (SSH)
Generic Routing Encapsulation (GRE 47)
Es el protocolo de Encapsulación de Enrutamiento Genérico. Se emplea en combinación con otros protocolos de túnel para crear redes virtuales privadas.
El GRE está documentado en el RFC 1701 y el RFC 1702. Fue diseñado para proporcionar mecanismos de propósito general, ligeros y simples, para encapsular datos sobre redes IP. El GRE es un protocolo cliente de IP que usa el protocolo IP 47.
Este protocolo es normalmente usado con VPN de Microsoft entre servidores con acceso remoto (RRAS) configurados para el enrutamiento entre redes de área local.
Esquema:
GRE se encarga del encapsulamiento de los datos para enviarlos por un túnel, pero él no crea no los túneles, de eso de encarga el protocolo PPTP u otro que estemos empleando.
El proceso de encapsulamiento tienen los siguientes pasos:
El paquete IP con los datos se transmite desde el Ecliente al servidor E-RRAS.
Se le añade la cabecera del PPP y se cifra todo junto obteniendo un ‘fragmento PPP’.
Los datos cifrados se colocan dentro de un paquete GRE con su correspondiente cabecera.
Se envía el paquete GRE del servidor E-RRAS al servidor R-RRAS a través de Internet.
Este envía se realiza por una conexión VPN creada anteriormente.
El servidor R-RRAS elimina el encabezados GRE, descifra, elimina el encabezado PPP y transmite los datos (paquete IP) a el Rcliente.
Los datos cifrados se colocan dentro de un paquete GRE con su correspondiente cabecera.
Esquema: Formato de un paquete GRE
Point-to-Point Tunneling Protocol
El Protocolo de Túnel Punto a Punto (PPTP) encapsula los paquetes (frames) del Protocolo Punto a Punto (Point-to-Point Protocol, PPP) con datagramas IP para transmitirlos por una red IP como Internet o una intranet privada.
El PPTP utiliza una conexión TCP conocida como la conexión de control de PPTP para crear, mantener y terminar el túnel, y una versión modificada de GRE, para encapsular los paquetes (frames) PPP como datos para el túnel. Las cargas de los paquetes encapsulados pueden estar encriptadas o comprimidas o ambas cosas.
El PPTP supone la disponibilidad de una red IP entre un cliente PPTP (un cliente de túnel que utiliza el protocolo PPTP) y un servidor PPTP (un servidor de túnel que utiliza el protocolo PPTP). El cliente PPTP podría estar ya conectado a una red IP por la que puede tener acceso al servidor PPTP, o podría tener que llamar telefónicamente a un servidor de acceso de red (Network Access Server, NAS) para establecer la conectividad IP como en el caso de los usuarios de accesos telefónicos para Internet.
La autentificación que ocurre durante la creación de una conexión VPN con PPTP utiliza los mismos mecanismos de autentificación que las conexiones PPP, tales como el Protocolo de Autentificación Extendible (Extensible Authentication Protocol, EAP), el Protocolo de Autentificación con Reto/Negociación de Microsoft (Microsoft Challenge-Handshake Authentication Protocol, MS-CHAP), el CHAP, el Protocolo de Autentificación de Claves Shiva (Shiva Password Authentication Protocol, SPAP) y el Protocolo de Autentificación de Claves (Password Authentication Protocol, PAP). El PPTP hereda la encriptación, la compresión o ambas de las cargas PPP del PPP. Para servidores PPTP sobre Internet, el servidor PPTP es un servidor VPN con PPTP con una interfase con Internet y una segunda interfase con la intranet.
IP Sec
IP Sec es un grupo de extesiones de la familia del protocolo IP pensado para proveer servicios de seguridad a nivel de red, de un modo transparente a las aplicaciones superiores.
IP Sec está ya explicado en su trabajo correspondiente: I Pv 6 e IP Sec
Protocolo de tunelado de nivel 2 (L2TP)
Es un componente de creación importante para las VPN de acceso. Es una extensión del protocolo Punto a Punto, fundamental para la creación de VPNs. L2TP combina las mejores funciones de los otros dos protocolos tunneling. Layer 2 Forwarding (L2F) de Cisco Systems y Point-to-Point Tunneling (PPTP) de Microsoft. L2TP es un estándar emergente, que se encuentra actualmente en codesarrollo y que cuenta con el respaldo de Cisco Systems, Microsoft, Ascend, 3Com y otros líderes en la industria de la conectividad.
A continuación una serie de términos relacionados con este protocolo:
L2TP Access Concentrator (LAC): Se añade un dispositivo LAC a los componentes físicos de la red conmutada; como la red telefónica convencional o RDSI, o se coloca con un sistema de terminación PPP capaz de gestionar el protocolo L2TP. Un LAC sólo necesita implementar el medio sobre el cual opera el L2TP para admitir el tráfico de una o más LNS. Puede “tunelizar” cualquier protocolo que incluya el PPP. LAC es el iniciador de las llamadas entrantes y el receptor de las llamadas salientes.
L2TP Network Server (LNS): Un LNS opera sobre cualquier plataforma con capacidad de terminación PPP. LNS gestiona el lado del servidor del protocolo L2TP. Ya que L2TP se apoya sobre el medio al que llegan los túneles L2TP, LNS sólo puede tener un único interfaz LAN o WAN, aunque es capaz de terminar las llamadas entrantes en cualquiera de la amplia gama de los interfaces PPP LAC (asíncronos, RDSI, PPP sobre ATM, PPP sobre Frame Relay).
Network Access Server (Servidor de acceso a la red): NAS es un dispositivo que proporciona a los usuarios acceso temporal a la red bajo demanda. Este acceso es punto a punto, de uso típico en líneas de la red telefónica convencional o RDSI. En la implementación Cisco, un NAS sirve como LAC.
Secure shell (SSH)
Tradicionalmente en sistemas Unix en el momento de entrar en el sistema, tanto el login como el password, así como el resto de la sesión, se transmiten a través de nuestra LAN o incluso a través de routers y nodos ajenos al nuestro en texto claro. Esto quiere decir que cualquiera que tenga activado un sniffer puede capturar nuestras sesiones con el potencial peligro que ello conlleva. La manera de evitar que alguien pueda espiar nuestras claves y sesiones, es utilizar una herramienta muy potente, fácil de instalar y muy cómoda para el usuario.
ssh/sshd actúan basándose en la arquitectura cliente/servidor , en este caso concreto sshd se ejecuta en el servidor en un puerto (el defecto es el 22) a la espera de que alguien utilizando un cliente ssh se conecte para ofrecerle una sesión segura encriptándola de extremo a extremo.
Todo es como en una sesión telnet tradicional, pero con la particularidad de que todas las comunicaciones serán encriptadas. El manejo de cualquier programa cliente de SSH es muy sencillo. Básicamente hay que introducir el servidor al que te quieres conectar (por ejemplo fanelli.sindominio.net) y que algoritmo de encriptación quieres usar (por ejemplo 3DES). Si no se dispone de un programa cliente de SSH, puede bajarse de Internet.
