Seguridad en redes informticas

Ronald William Lpez Pablo Acosta Castro

SSL
Siglas de Secure socket layer El protocolo SSl es un sistema diseado y propuesto por el ya desaparecido Netscape Comunications Corporations. Se encuentra en la pila OSI entre los niveles de TCP/IP y de los protocolos http, FTP, SMTP entre otros.

SSL
Proporciona los servicios de seguridad cifrando los datos intercambiados entre el servidor y el cliente con un algoritmo de cifrado simtrico como RC4, y cifrando la clave de sesin de RC4 o IDEA mediante un algoritmo de cifrado de clave pblica, comnmente el RSA. La clave de sesin es la que se utiliza para cifrar los datos que vienen y van al servidor seguro

SSL
Se genera una clave de sesin distinta para cada transaccin, lo cual permite que aunque sea reventada por un atacante en una transaccin dada, no sirva para descifrar futuras transacciones. Cuando el cliente pide al servidor seguro una comunicacin segura, el servidor abre un puerto cifrado, .

SSL
gestionado por un software llamado Protocolo SSL Record, situado encima de TCP. Ser el software de alto nivel, Protocolo SSL Handshake, quien utilice el Protocolo SSL Record y el puerto abierto para comunicarse de forma segura con el cliente.

Proceso de intercambio de mensajes o Handshake de SSL

La fase Hola, usada para ponerse de acuerdo sobre el conjunto de algoritmos para mantener la intimidad y para la autenticacin. La fase de intercambio de claves, en la que intercambia informacin sobre las claves, de modo que al final ambas partes comparten una clave maestra. La fase de produccin de clave de sesin, que ser la usada para cifrar los datos intercambiados. La fase de verificacin del servidor, presente slo cuando se usa RSA como algoritmo de intercambio de claves, y sirve para que el cliente autentique al servidor. La fase de autenticacin del cliente, en la que el servidor solicita al cliente un certificado X.509 (si es necesaria la autenticacin de cliente). Por ltimo, la fase de fin, que indica que ya se puede comenzar la sesin segura.

SSH
SSH o Secure Shell Es un protocolo que facilita las comunicaciones seguras entre dos sistemas que usen la arquitectura de cliente/ servidor y que permite a los usuarios conectarse a un host remotamente. Tiene como caracterstica que

SSH
en SSH se encripta la sesin de conexin, haciendo imposible que alguien pueda obtener contraseas no encriptadas. SSH esta diseado para reemplazar sistemas menos seguros para el registro remoto por medio del shell de comandos, tales como telnet o RSH.

SSH
SSH proporciona los siguientes tipos de proteccin >Despus de la conexin inicial, el cliente puede verificar que se est conectando al mismo servidor al que se conect anteriormente. >El cliente transmite su informacin de autenticacin al servidor usando una encriptacin robusta de 128 bits.

SSH
>Todos los datos enviados y recibidos durante la sesin se transfieren por medio de encriptacin de 128 bits, lo cual los hacen extremamente difcil de descifrar y leer. >Como SSH cifra todos los mensaje que se envan y reciben, se pueden cifrar tambin protocolos inseguros:

SSH
El servidor SSH puede convertirse en un conducto para convertir en seguros los protocolos inseguros mediante el uso de una tcnica llamada reenvo por puerto, como por ejemplo POP, incrementando la seguridad del sistema en general y de los datos.

HTTPS
Siglas de Hypertext Transfer Protocol Secure Es una combinacin del protocolo HTTP y protocolos criptogrficos. Se emplea para lograr conexiones ms seguras en la WWW, generalmente para transacciones de pagos o cada vez que se intercambie informacin sensible en Internet. Cifrndola.

HTTPS
El nivel de proteccin que ofrece depende de la correccin de la implementacin del navegador web, del software y de los algoritmos criptogrficos soportados. Adems HTTPS es vulnerable cuando es aplicado a contenido esttico pblicamente disponible.

HTTPS
Para distinguir una comunicacin o pgina web segura, la URL debe comenzar con "https://" (empleando el puerto 443 por defecto); en tanto la tradicional es "http://" (empleando el puerto 80 por defecto). Originalmente HTTPS slo utilizaba SSL, luego reemplazado por TLS.

HTTPS
Fue adoptado como estndar web. HTTP opera en la capa ms alta del modelo TCP/IP, la capa de Aplicacin. Pero el protocolo de seguridad trabaja en una subcapa inferior, cifrando el mensaje HTTP antes de ser transmitido y descifrando el mensaje antes de que llegue.

Funciones HASH

Sirven para garantizar la integridad de los textos

El cdigo ASCII asigna un nmero a cada letra o signo de puntuacin

65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 A B C D E F G H I J K L M N O 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 a b c d e f g h i j k l m n o 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 ! " # $ % & ' ( ) * + , . /

Es una clave simtrica estndar internacional. La utilizan, por ejemplo, todos los ordenadores.

Podemos substituir cada letra de un texto por su cdigo ASCII

E n 69 110 l a 108 97 o 111 u n 32 117 110 r i n c n 32 114 105 110 99 243 110 d e 32 100 101 d e 32 100 101 32

M a n c h a 32 77 97 110 99 104 97

c u y 32 99 117 121

n o m b r e 32 110 111 109 98 114 101

n o 32 110 111

q u i e 32 113 117 105 101

Podemos utilizar los cdigos ASCII de un texto para hacer cualquier clculo
E n u n r i n c n 69 110 32 117 110 32 114 105 110 99 243 110 -1312 224 990 -15840 l a 32 108 97 -7372 u y o 117 121 111 -444 M a n c h a 32 77 97 110 99 104 97 -4365 1144 n o m b r e 32 110 111 109 98 114 101 -8658 1254 d e 32 100 101 -6868 -22806 c 32 99 6831 2738

d e 32 100 101 6500 n o 32 110 111 7590

q 32 113 8927

8669 -11399

Aqu, cada tres caracteres, con sus cdigos ASCII, se opera (1-2)*3 La suma de los resultados es una funcin HASH que identifica perfectamente el texto.

Cualquier modificacin en el texto provoca un cambio en el valor de la funcin HASH

E n u n r i n c o n 69 110 32 117 110 32 114 105 110 99 111 110 -1312 224 990 -1320 l a 32 108 97 -7372 u y o 117 121 111 -444 M a n c h a 32 77 97 110 99 104 97 -4365 1144 n o m b r e 32 110 111 109 98 114 101 -8658 1254 d e 32 100 101 -6868 c 32 99 6831 2738 -8286

d e 32 100 101 6500 n o 32 110 111 7590

q 32 113 8927

8669 3121

Por ejemplo, al substituir rincn por rincon sin acento, el valor HASH ha pasado de -11.399 a 3.121

Ejemplo de uso
Mara enva un mensaje a Jaime. Al final del mensaje le aade el valor HASH del texto segn una funcin en la que se han puesto previamente de acuerdo. Jaime recibe el mensaje y calcula el valor HASH. Si coincide con el que ha dicho Mara puede estar seguro de que el mensaje no ha sido modificado.

MD5

MD5 es un algoritmo de reduccin criptogrfico de 128 bits ampliamente usado. Diseado por el profesor Ronald Rivest del MIT(Massachusetts Institute of Technology, Instituto Tecnolgico de Massachusetts).

 El MD5 es la quinta de una serie de funciones de dispersin diseadas por Ron Rivest (el del algoritmo RSA) en el ao 1992. Opera alterando los bits de una manera que cada bit de salida es afectado por cada bit de entrada. A pesar de su amplia difusin actual, la sucesin de problemas de seguridad detectados desde que, en 1996, Hans Dobbertin anunciase una colisin de hash, plantea una serie de dudas acerca de su uso futuro.

MD5 emplea 64 constantes (una por cada paso)

A = 01234567 (MD5) B = 89ABCDEF (MD5) C = FEDCBA98 (MD5) D = 76543210 (MD5)

 La codificacin del MD5 de 128 bits es representada tpicamente como un nmero de 32 dgitos hexadecimal. El siguiente cdigo de 28 bytes ASCII ser tratado con MD5 y veremos su correspondiente hash de salida: MD5("Esto s es una prueba de MD5") = e99008846853ff3b725c27315e469fbc

Descripcin del algoritmo md5

Los siguientes cinco pasos son efectuados para calcular el resumen del mensaje:

Paso 1. Adicin de bits

El mensaje ser extendido hasta que su longitud en bits sea congruente con 448, mdulo 512. Esto es, si se le resta 448 a la longitud del mensaje tras este paso, se obtiene un mltiplo de 512. La extensin se realiza como sigue: un solo bit "1" se aade al mensaje, y despus se aaden bits "0" hasta que la longitud en bits del mensaje extendido se haga congruente con 448, mdulo 512. En todos los mensajes se aade al menos un bit y como mximo 512.

Paso 2. Longitud del mensaje

Un entero de 64 bits que represente la longitud 'b' del mensaje (longitud antes de aadir los bits) se concatena al resultado del paso anterior. En el supuesto no deseado de que 'b' sea mayor que 2^64, entonces slo los 64 bits de menor peso de 'b' se usarn. En este punto el mensaje resultante (despus de rellenar con los bits y con 'b') se tiene una longitud que es un mltiplo exacto de 512 bits. A su vez, la longitud del mensaje es mltiplo de 16 palabras (32 bits por palabra). Con M[0 ... N-1] denotaremos las palabras del mensaje resultante, donde N es mltiplo de 16.

Paso 3. Inicializar el bfer MD

Un bfer de cuatro palabras (A, B, C, D) se usa para calcular el resumen del mensaje. Aqu cada una de las letras A, B, C, D representa un registro de 32 bits. Estos registros se inicializan con los siguientes valores hexadecimales, los bits de menor peso primero:

palabra A: 01 23 45 67 palabra B: 89 ab cd ef palabra C: fe dc ba 98 palabra D: 76 54 32 10

Paso 4. Procesado del mensaje en bloques de 16 palabras Primero definimos cuatro funciones auxiliares que toman como entrada tres palabras de 32 bits y su salida es una palabra de 32 bits.

 Los operadores son las funciones XOR, AND, OR y NOT respectivamente. En cada posicin de cada bit X acta como un condicional: si X, entonces Z sino 8. La funcin Z podra haber sido definida usando + en lugar de v ya que XY y not(x) Z nunca tendrn unos ('1') en la misma posicin de bit. Es interesante resaltar que si los bits de X, Y y Z son independientes y no sesgados, cada uno de los bits de F(X,Y,Z) ser independiente y no sesgado.

 Las funciones G, H e I son similares a la funcin F, ya que actan "bit a bit en paralelo" para producir sus salidas de los bits de X, Y y Z, en la medida que si cada bit correspondiente de X, Y y Z son independientes y no sesgados, entonces cada bit de G(X,Y,Z), H(X,Y,Z) e I(X,Y,Z) sern independientes y no sesgados. Ntese que la funcin H es la comparacin bit a bit "xor" o funcin "paridad" de sus entradas.

 Este paso usa una tabla de 64 elementos T[1 ... 64] construida con la funcin Seno. Denotaremos por T[i] el elemento i-simo de esta tabla, que ser igual a la parte entera del valor absoluto del seno de 'i' 4294967296 veces, donde 'i' est en radianes. Paso 5. Salida El resumen del mensaje es la salida producida por A, B, C y D. Esto es, se comienza el byte de menor peso de A y se acaba con el byte de mayor peso de D.

Kerberos

Servicio de autentificacin desarrollado en el Massachusetts Institute of Technology (MIT)

 Perro de tres cabezas y cola de serpiente segn mitologa griega, guardin de la entrada del Templo de Hades. Tres componentes guardarn la puerta: Autentificacin, Contabilidad y Auditora. Las dos ltimas cabezas nunca han sido implementadas.

Kerberos: Introduccin
Proyecto Athena. MIT 1980. Basado en el protocolo de clave compartida basado en el protocolo de Needham y Schroeder. Los usuarios necesitan acceder a servicios remotos. Existen tres tipos de amenazas: Un usuario se hace pasar por alguien ms. Un usuario altera la direccin de red de un host. Usuario usa tcnicas de eavesdrop y replay attack.

 Provee un server (centralizado) de autentificacin para autentificar usuarios en servers y servers a usuarios. Utiliza criptografa convencional. 2 versiones: 4 y 5. La versin 4 utiliza DES.

Kerberos: Vista General

Encriptacin en Kerberos

Fuentes

SSL http://www.iec.csic.es/criptonomicon/ssl.html SSH http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-es-4/ http://www.e-ghost.deusto.es/docs/articulo.ssh.html HTTPS http://www.alegsa.com.ar/Dic/https.php

 Funciones HASH www.eumed.net/cursecon/ecoinet/seguridad/has

MD5
md5.rednoize.com KERBEROS http://www.isi.edu/gost/info/kerberos/