Está en la página 1de 31

SEGURIDAD DE REDES

SEGURIDAD DE REDES

Ing. Halvin Ren Gmez Aliado Guatemala Agosto 2012

Halvin Ren Gmez Aliado

Seguridad de redes

SEGURIDAD DE REDES La seguridad en las redes implica bsicamente 4 exigencias, que se extienden al sistema: 1. 2. 3. 4. Confidencialidad o Secreto Integridad Disponibilidad Autenticacin

Confidencialidad o Secreto: Privacidad de los datos. Integridad: No alteracin de los datos. Disponibilidad: La informacin y recursos deben disponibles, permaneca de los datos.

estar

La incorporacin de un computador en una red informtica u otro sistema de comunicaciones aade nuevos aspectos de seguridad relacionados bsicamente con la autenticacin. Autenticacin, Seguridad con respecto a quien cre o envo el mensaje.

Algunos aspectos que se deben de cumplir en una comunicacin segura: a) Control de acceso: Autorizar el acceso a travs de una comunicacin a la informacin y recursos solo a entes autorizados. b) Prueba de origen: Asegurar al receptor que un dato recibido proviene en realidad de quien dice ser emisor. c) Prueba de recepcin: Asegurar al emisor que un dato trasmitido ha sido recibi realmente por quien dice ser su receptor. d) No rechazo: Que impidan que extremo niegue haber enviado un dato habindolo hecho o que el otro niegue haberlo recibido.

Halvin Ren Gmez Aliado

Seguridad de redes

Generalmente los ataques se dividen en: 1. Pasivos 2. Activos

Pasivos Intento de un atacante de obtener informacin relativa una comunicacin (consiste en la intercepcin del mensaje). Son las escuchas o monitorizaciones del trfico. Difciles de detectar: no alteran los datos. Se previenen mediante el cifrado de datos.

Entre los ataques pasivos podemos mencionar: Snooping y el Packet Sniffing

Snooping (Espiar): Consiste en la escucha y divulgacin de la informacin. Los ataques de esta categora tiene el mismo objetivo que el Sniffing (Olfatear), obtener la informacin sin modificarla. Adems de interceptar el trfico de red, el atacante captura los documentos, mensajes de e-mail y otra informacin guardada, descargando en la mayora de los casos esa informacin a su propia computadora.

Halvin Ren Gmez Aliado

Seguridad de redes

Packet sniffing (Olfateo de paquetes): Lo que consiste este ataque es en el anlisis de trfico. Se utilizan programas que monitorizan los paquetes que circulan por la red. Este puede ser colocado tanto en una estacin de trabajo conectada en la red, como a un Router o a un Gateway de internet, y esto puede ser realizado por un usuario con legtimo acceso, o por un intruso que ha ingresado por otras vas.

Este mtodo es muy utilizado para capturar nombres de usuario y contraseas que generalmente viajan claros sin cifrar.

Halvin Ren Gmez Aliado

Seguridad de redes

Activos Modificacin de los datos trasmitidos o creacin de trasmisiones falsas. Relativamente fciles de detectar; difciles de prevenir. Se previenen mediante tcnicas de autenticacin.

Entre los ataques activos podemos mencionar: Spoofing, Tampering, Jamming o Flooding.

Spoofing (Enmascaramiento): Que consiste en la suplantacin de un ente autorizado para acceder a la informacin o recursos. Una forma comn de spoofing, es conseguir el nombre y contrasea de un usuario legitimo para, una vez en el sistema, tomar acciones en nombre de l, como ejemplo puede ser el envo de falsos e-mails.

Tampering (Manosear): Este ataque se refiere a la modificacin desautorizada a los datos, que incluye la posible destruccin y creacin no autorizada de datos y recursos.

Jamming o Flooding (Atascar o Inundar): Que supone el impedir a entes autorizados su acceso a la informacin o recursos a los que tiene derecho de acceso.

En resumen, las contramedidas se suelen concretar en los siguientes aspectos: Minimizar la probabilidad de intromisin con la implantacin de elementos de proteccin. Detectar cualquier intrusin lo antes posible. Identificar la informacin objeto del ataque y su estado para recuperarla tras el ataque.

Halvin Ren Gmez Aliado

Seguridad de redes

Formas de ataque: A continuacin se muestra el flujo normal que tiene que tener un sistema de comunicacin, denominada comunicacin directa.

Interrupcin: Es un tipo de ataque contra la disponibilidad.

Interceptacin: Es un tipo de ataque contra la confidencialidad.

Modificacin: Es un tipo de ataque contra la integridad.

Fabricacin: Es un tipo ataque contra la autenticidad.

Halvin Ren Gmez Aliado

Seguridad de redes

Obtencin de contraseas: Este mtodo usualmente denominado CRACKING (agrietar), comprende la obtencin por fuerza bruta u otros medios ms inteligentes, de aquellas contraseas que permiten ingresar a servidores, aplicaciones, cuentas, etc. Muchas contraseas de acceso son obtenidas fcilmente porque involucran el nombre u otro dato familiar del usuario, otras veces se realizan ataques sistemticos, con la ayuda de programas especiales, que prueban millones de posibles contraseas hasta encontrar la correcta. Es muy frecuente crackear una contrasea explotando agujeros en los algoritmos de cifrado utilizados, en la administracin de las contraseas por parte de la empresa.

Las tres reas de la seguridad: 1. La seguridad de permetro: proteccin frente ataques del exterior generalmente basadas en cortafuegos (Firewalls). 2. La seguridad en el canal: Donde hay que proteger los datos frente a escuchas mediante criptografa. 3. La seguridad de acceso: donde se contemplan tres aspectos: 3.1 Identificacin del usuario. 3.2 Autorizacin del acceso. 3.3 Auditoria de las operaciones realizadas por el usuario.

Halvin Ren Gmez Aliado

Seguridad de redes

1. LA SEGURIDAD DE PERIMETRO
Un cortafuego es una de las varias formas de proteger una red de otra red no fiable desde el punto de vista de la seguridad. Los mecanismos reales mediante los cuales se implementan las funciones del cortafuego son muy variados, pero en general el cortafuego puede verse como la unin de un mecanismo para bloquear trfico y otro para permitirlo. Algunos cortafuegos hacen especial hincapi en el primero bloquear, mientras que otros se basan fundamentalmente el permitirlo. La primera razn para la instalacin de cortafuegos es proteger una red privada de intrusos, pero permitiendo a su vez el acceso autorizado desde y hacia el exterior. Otra razn importante es que pueden proporcionar una administracin y auditoria. Y por ltimo un cortafuego puede actuar como representante de la empresa en internet ya que muchas compaas usan sus cortafuegos para almacenar informacin pblica sobre los servicios y/o productos que ofrecen sin necesidad de ingresar a la red interna (red corporativa)

Tipos de cortafuegos: En la configuracin de un cortafuego, la principal decisin consiste en elegir entre seguridad o facilidad de uso. Este tipo de decisin es tomando en general por la directrices de la compaa. Algunos cortafuegos solo permiten trfico de correo electrnico a travs de ellos, y por lo tanto protegen a la red contra cualquier ataque que no sea a travs del servicio de correo. Otros son menos estrictos y slo bloquean aquellos servicios que se sabe que representan problemas de seguridad. Existen 2 aproximaciones bsicas: Todo lo que no es expresamente permitido est prohibido: Se refiere a que se disea el cortafuego para bloquear todo el trfico y los distintos servicios se deben activar de forma individual. Todo lo que no es expresamente prohibido est permitido: Se refiere a que el administrador del sistema debe predecir qu tipo

Halvin Ren Gmez Aliado

Seguridad de redes

de acciones pueden realizar los usuarios que pongan en riesgo la seguridad del sistema, y prepararan defensas contra ellas.

La tecnologa empleada en los cortafuegos ha ido madurando a medida que la industria especializada avanzo y ahora tenemos una amplia variedad de dispositivos que realizan esta funcin de distintas formas. Capas donde los cortafuegos interactan dentro de la capa de OSI.

La clasificacin conceptual ms simple se divide en los cortafuegos en solo 2 tipos: Cortafuegos a nivel de red. Cortafuegos de nivel de aplicacin.

Halvin Ren Gmez Aliado

Seguridad de redes

Cortafuego de capa de red El trmino en ingles por el que se los conoce es Packet filter firewalls. Se trata del tipo ms bsico de cortafuegos. Analizan el trfico de la red fundamentalmente en la capa 3, teniendo en cuenta a veces algunas caractersticas del trfico generado en las capas 2 y/o 4 y algunas caractersticas propias de la capa 1. Los elementos de decisin con que cuentan a la hora de decidir si un paquete es vlido o no son los siguientes:

La direccin de origen desde donde, supuestamente, viene el paquete (capa 3). La direccin del host destino del paquete (capa 3). El tipo de trfico: TCP, UDP o ICMP (capa 3) Los puertos de origen y destino de la sesin (capa 4). El interface fsico del cortafuego a travs del que el paquete llega y por el que habra que darle salida (capa 1), en dispositivo con 3 o ms interfaces de red.

La cabecera de un paquete de IPV4. Se destaca (cuadro rojo), cules son los campos que habitualmente inspeccionan los cortafuegos de red.

Halvin Ren Gmez Aliado

Seguridad de redes

Con todas o algunas de estas caractersticas se forman dos listas de reglas: Aceptar & Rechazar. En la siguiente tabla tenemos un pequeo ejemplo de una de estas ltimas listas de reglas en la que el cortafuego posee la direccin 192.168.1

Las principales ventajas de este tipo de cortafuegos (1) estn en su rapidez, transparencia y flexibilidad. (2) Proporcionan un alto rendimiento y escalabilidad y de muy bajo coste, (3) y son muy tiles para bloquear la mayora de los ataques de denegacin de servicio.

Halvin Ren Gmez Aliado

Seguridad de redes

Las desventajas son (1) su limitada funcionalidad y su dificultad a la hora de configurarlos y mantenerlos, (2) son fcilmente vulnerables mediante tcnicas de spoofing, y (3) no pueden prevenir contra ataques que exploten vulnerabilidades especficas de determinadas aplicaciones.

Cortafuego de aplicacin Como su nombre indica, esta generacin de cortafuegos evala los paquetes realizando una validacin en la capa de aplicacin (capa 7). En la prctica los cortafuegos de este tipo, suelen prestar servicios de Proxy. Un proxy es un servicio especfico que controla el trfico de un determinado protocolo (como HTTP, FTP, DNS, etc). Proporcionando un control de acceso adicional y un detallado de registro de sucesos respecto al mismo. Los servicios o agentes tpicos con que cuentan este tipo de dispositivos son: DNS, Finger, FTP, HTTP, HTTPS, LDAP, NMTP, SMTP y telnet. Algunos fabricantes proporcionan agentes genricos que en teora son capaces de inspeccionar cualquier protocolo de red. Los agentes o servicios de proxy estn formados por 2 componentes: un servidor y un cliente. Ambos implementarse como dos procesos diferentes lanzados por un nico ejecutable. El servidor proxy acta, como destino de las conexiones solicitadas por un cliente de la red interna. El cliente del servicio proxy es el que realmente encamina la peticin hacia el servidor externo y recibe la respuesta de este. Posteriormente, el servidor proxy remite dicha respuesta al cliente de la red interna. De esta manera estamos creando un aislamiento absoluto impidiendo una comunicacin directa entre la red interna y la externa. Entre el dialogo entre el cliente y el servidor proxy se evalan las peticiones de los clientes de la red interna y se decide aceptarlas o rechazarlas en base a un conjunto de reglas, examinando meticulosamente que los paquetes de datos sean en todo momento correctos. Pues que son servicios hechos a medida para el protocolo que inspeccionan, tenemos un control total y un registro de sucesos al ms alto nivel.

Halvin Ren Gmez Aliado

Seguridad de redes

En la siguiente grfica podemos ver cmo se desarrolla la comunicacin arriba descrita.

Las principales ventajas de este tipo de cortafuegos son (1) sus detallados registros de trfico (ya que examina la totalidad del paquete de datos). (2) El aislamiento que realizan de nuestra red, (3) la seguridad que proporcionan la compresin a alto nivel de los protocolos que inspeccionan y los servicios aadidos, como CACHE y filtro de URLs.

Las desventajas son (1) respecto a las prestaciones en lo que se refiere a las velocidades de respuesta, (2) la necesidad de contar con servicios especficos para cada tipo distinto de trfico. (3) la imposibilidad de ejecutar muchos servicios simultneamente.

Ejercicio, configuracin de router, con funcionalidad de firewall, capa de red & de aplicacin.

Halvin Ren Gmez Aliado

Seguridad de redes

Configuracion IPs de las Laptops


Laptop-0 192.168.1.11/24 Laptop-1 192.168.1.12/24 Laptop-2 192.168.1.13/24

Configuracion GW de las Laptops


Laptop 0,1,2 el mismo GW 192.168.1.1

Configuramos el ptos del router


Fa0/0 192.168.1.1/24 Fa1/0 10.10.10.11/8

Configuramos el pto Ethernet de Server-0


10.10.10.128/8 Halvin Ren Gmez Aliado Seguridad de redes

Configuracion GW del Server-0


10.10.10.11

Realizar ping desde la Laptop 0 hacia la Laptor 1 Tiene que ser exitoso. Ping = protocolo ICMP

Realizar ping desde la Laptop 0 hacia la Server-0 Tiene que ser exitoso. Ping = protocolo ICMP

Configuramos el router para bloquear ICMP #access-list 101 deny icmp any any host-unreachable

Configuramos el router para permitir HTTP #access-list 101 permit tcp any any eq www

Configurar la interface fa0/0


Interface fa0/0 ip access-group 101 in

Realizamos la pruebas Realizamos ping de Laptop 0 haca el Server-0 no exitoso. Desde Web-Browser de Laptop-0 http://10.10.10.128 hacia el Server-0 acceso exitoso.

Halvin Ren Gmez Aliado

Seguridad de redes

Topologa de cortafuegos Aunque el propsito de todos los cortafuegos es el mismo, existen diferencias en sus topologas y prestaciones. Los siguientes son algunos ejemplos de las mltiples posibilidades existentes: 1. 2. 3. 4. 5. Bastion Host (ordenador salvaguardo) Screening router (Encaminador con filtrado) Dual-Homed Host (ordenador con doble conexin) Screened host (filtrado de host) Screened subnet (filtrado de subred)

Bastion Host (Ordenador Salvaguardado) Son sistemas identificados por el administrador de la red como puntos clave en la seguridad de red. Son auditados regularmente y pueden tener software modificado para filtrar y bloquear determinados intentos de conexin, trazar las comunicaciones y reparar fallos de seguridad del sistema. Bsicamente es un equipo que acta como cortafuegos, conectando la red interna con la red externa a travs de un servidor, se instala un software de cortafuegos personal en el equipo del usuario. Esta topologa si se ve amenazada, significa que todo el sistema lo estar tambin.

Halvin Ren Gmez Aliado

Seguridad de redes

Screening router (Encaminador con filtrado) Son un componente bsico de la mayor parte de los cortafuegos. Pueden ser un router comercial o basado en un ordenador convencional, con capacidad para filtrar paquetes. Tiene la capacidad para bloquear el trfico entre redes o nodos especficos basndose en direcciones y puertos TCP/IP. En general permite la comunicacin entre mltiples nodos de la red protegida y de Internet.
Zona riesgo = No. de nodos de la red protegida/ No. de servicios para los que se permite trafico

Es casi imposible reconstruir un ataque que haya llevado a la destruccin del cortafuegos, e incluso puede ser difcil detectar la propia destruccin, aunque algunos poseen capacidades de registro de eventos para paliar esto. En general responden a configuraciones en las que no lo que no est expresamente prohibido, est permitido. No son la solucin ms segura, pero son muy comunes dato que permiten un acceso a Internet bastante libre desde cualquier punto de la red privada.

Dual-Homed Host (Ordenador con doble conexin) Algunos cortafuegos son implementados sin necesidad de un screening router. Para ello se conecta un servidor mediante dos tarjetas independientes a la red que se quiere proteger y a internet, desactivando las funciones de reenviawetifcdkj5112 TCP/IP. Este dispositivo puede ser un bastion host y funcionar como un servidor (Web, Ftp..) tanto para la red interna como para la red externa.

Halvin Ren Gmez Aliado

Seguridad de redes

Son dispositivos que estn conectados a ambos permetros (interior y exterior) y no dejan pasar paquetes IP (como sucede en el caso del filtrado de paquetes), por lo que se dice que actan con el ipforwarding desactivado. Para ello se conecta un servidor mediante dos tarjetas independientes a la red que se quiere proteger y a Internet, desactivando las funciones de reenvo TCP/IP.

Screened host (filtrado de host) Es la configuracin de cortafuegos ms comn. Esta implementa usando un bastion host y un sreening router. Habitualmente el bastion host est en la red privada, y el screening router est configurado de modo que el bastion host es el nico nodo de dicha red que es accesible desde Internet para un pequeo nmero de servicios. Como el bastion host est en la red privada, la conectividad para los usuarios es muy buena, eliminando los problemas que suelen aparecer al tener definidas rutas extraas. Si la red privada es uan red local virtual siempre que esta est usando direcciones IP vlidas. La zona de riesgo se circunscribe entre el bastion host y el screening router. La seguridad de ste ltimo depende del software que ejecute. Para el bastion host, las consideraciones sobre seguridad y proteccin son similares a las hechas para un sistema del tipo host de doble conexin.

Halvin Ren Gmez Aliado

Seguridad de redes

Screened subnet (filtrado de subred) En algunas configuraciones de cortafuegos se crea una subred aislada, situada entre la red privada e internet. La forma habitual de usar esta red consiste en emplear screening routers configurados de forma que los nodos de dicha subred son alcanzables desde internet y desde la red privada. Una ventaja de ese tipo de cortafuegos es que pueden ser instalados de forma que ocultan la estructura de la red privada. La subred expuesta es muy dependiente del conjunto de software que se ejecuten en el bastion host. La funcionalidad es similar a la obtenida en los casos anteriores, sin embargo la complejidad de configuracin y encaminamiento es mucho mayor.

Demilitarized zone DMZ (Zona desmilitarizada): es una red local que se ubica entre la red interna de una organizacin y una red externa, generalmente internet

Halvin Ren Gmez Aliado

Seguridad de redes

Aplicabilidad No se puede hablar de qu tipo de cortafuegos es el mejor, ya que depende de muchos factores que hacen que cada caso puede tener una respuesta diferente. Coste Poltica de la empresa Tecnologa de red Personal disponible

Conviene tener en cuenta que un cortafuego es un dispositivo de red de importancia creciente, al menos desde el punto de vista de administracin y seguridad. El concepto de zona de riesgo es fundamental, lo ideal sera que cada nodo de la red protegida tuviese un alto nivel de seguridad de modo que el cortafuego fuese redundante. Pero en la realidad es poco viable por los costos.

Halvin Ren Gmez Aliado

Seguridad de redes

VPN Es una red privada virtual, que se extiende mediante un proceso de encapsulacin, y en su caso de encriptacin de los paquetes de datos a distintos puntos remotos mediante el uso de infraestructuras pblicas de transporte. Una VPN permite al usuario acceder a su red corporativa asignndole a su ordenador remoto las direcciones y privilegios de misma. La comunicacin que viaja por el tnel establecido en la red pblica vaya encriptada para permitir una mayor confidencialidad.

Porque una VPN? Cuando deseo enlazar o tener acceso a la red privada desde un punto externo. Existen 3 opciones: Modem: Desventaja costo de la llamada, aparte no cuenta con la calidad y velocidad adecuadas. Seal modulada por medio de un portadora. Lnea Privada o dedicada: Tener un cable ya sea cobre o fibra por conexin. Lo que implica no ser practico ni barato. VPN: Los costos son relativamente bajos porque usan la infraestructura de internet, adems posibilita que mis datos viaje encriptados y seguros, adems me brinda una buena calidad y velocidad.

Halvin Ren Gmez Aliado

Seguridad de redes

Quienes soportan la VPN? Los tres principales protocolos de seguridad que existen actualmente son: Protocolo para establecimiento de tneles punto a punto (PPTP) Protocolo de Reenvo de nivel 2(L2TP) Protocolo de seguridad en internet (IPsec) 1. Tipo de encapsulacin. 2. Diseo implementado Componentes que conforman una VPN? Se componen de HW & SW. Cumplen con las caractersticas: Disponibilidad Control Compatibilidad Seguridad Confiablidad Autenticacin de datos y usuarios Sobrecarga de trfico Historia.

Halvin Ren Gmez Aliado

Seguridad de redes

Ventajas e inconvenientes de la VPN? Ventajas: Reduccin de costos. Sencilla de usar Sencilla instalacin del cliente en cualquier PC. Control de acceso basado en polticas de organizacin Herramientas de diagnstico remoto Los algoritmos de compresin optimizan el trfico del cliente Evita el alto costo de las actualizaciones. Desventajas: La encriptacin (cifrado o codificacin): Es el proceso para volver ilegible informacin considera importante. La informacin una vez encriptada slo puede leerse aplicndole una clave. Criptografa literalmente escritura oculta, tradicionalmente se ha definido como la parte de la criptologa (ciencia de estudiar mensajes ocultos) que se ocupa de las tcnicas, bien sea aplicadas al arte o la ciencia, que alteran las representaciones lingsticas de mensajes

Halvin Ren Gmez Aliado

Seguridad de redes

2. SEGURIDAD EN EL CANAL
Criptografa: Es el estudio de tcnicas de cifrado seguras. Criptoanlisis: Es el estudio de las tcnicas cifrados. orientadas a romper los como

Conjunto de criptografa + criptoanlisis se conoce CRIPTOLOGIA. (Es la ciencia de estudiar mensajes ocultos).

Aunque los usuarios de las redes que son el extremo de una comunicacin pueden estar tranquilos en cuanto a la seguridad de la informacin, la red de comunicaciones siempre es un punto de desconfianza. La prevencin ante los ataques a la red suele pasar siempre por el uso de alguna u otra manera de tcnicas de criptografa tanto para proteger el secreto de los datos como para permitir la identificacin de quienes los envan o reciben. El cifrado de los datos puede aplicarse a distintos niveles.

Halvin Ren Gmez Aliado

Seguridad de redes

Aplicacin: La aplicacin que enva los datos del usuario, por ejemplo una videoconferencia, cifra los datos antes de entregrselos a la capa de transporte y son descifrados por la aplicacin que recibe los datos antes de entregrselos al usuario receptor.

Transporte: La capa de transporte puede utilizar un protocolo que cifre el campo de datos de cada segmento que enva (TPDU) donde van los datos del usuario. Para ello ambas entidades de transporte, a uno y otro extremo han de ser capaces de negociar ese protocolo con cifrado de datos (por ejemplo SSL).

Red Se puede utilizar protocolos de red que utilicen cifrado de datos, de manera que el campo de datos de las unidades que transmite el protocolo van cifrados. Pero esto exige que todos los nodos de la red, incluidos los que hacen el encaminamiento, soporte ese protocolo. Por ejemplo, en una red IP todos los nodos de la red deberan actualizar el protocolo actual, IPV4, a la nueva versin IPV6 que adminte el cifrado del campo de datos del datagrama. Otra alternativa consiste en establecer tuneles en una red IP insegura entre routers que unen distintas subredes de una empresa entre s, empleando un protocolo
Halvin Ren Gmez Aliado Seguridad de redes

como IPsec (Ip seguro) que viaja cifrado dentro del campo de datos de los datagramas IP convencionales que atraviesan la red publica.

Enlace Es en este caso el cifrado/descifrado lo realiza el (DTE) empleado por el usuario como interfaz con la lnea fsica de comunicacin que une con el o los interlocutores. Un ejemplo son los modem capaces de cifrar la informacin que trasmiten cuando dialogan con otro modem con las mismas capacidades.

Mtodos bsicos de criptografa. Los mtodos bsicos de cifrado son el cifrado por sustitucin y el cifrado por transposicin. Prcticamente todas las tcnicas de cifrado se basan en uno de estos de mtodos o en combinaciones de ambos. Todos los mtodos requieren el uso de algn tipo de clave. Cifrado por sustitucin: El cifrado por sustitucin consiste en sustituir cada carcter, octeto o bloque de datos por otro de acuerdo con un algoritmo determinado, generalmente, basado en algn tipo de clave. Entre los tipos de cifrado por sustitucin simple podemos mencionar: Atbash, cesar, ROT13, afin , francmason. Entre los tipos de cifrado por sustitucin mencionar: Alberti, vigerne, vernam. compuesto podemos

Halvin Ren Gmez Aliado

Seguridad de redes

Cifrado por transposicin: Consiste en tomar bloques de datos y cambiar el orden de estos dentro del bloque. Haciendo la transposicin inversa se consigue recuperar el bloque original. Entre los cifrados por transposicin podemos mencionar: transposicin chino, CONCEPTO BSICOS: Texto Nativo: El mensaje original. Algoritmo de cifrado: Realiza las sustituciones y transformaciones sobre el texto nativo. Clave secreta: Entrada al algoritmo de cifrado de la que dependen las sustituciones y transformaciones exactas realizadas por el algoritmo. Texto cifrado: - Mensaje aleatorio que se produce a la salida. - Depende del texto nativo y de la clave secreta. - Para un mensaje dado dos claves diferentes producen dos textos cifrados diferentes. Algoritmo de descifrado: - Esencialmente es el algoritmo de cifrado ejecutado al revs. - Toma como entradas el texto cifrado y la clave secreta y produce el texto nativo original. Fuerza bruta: Consiste en probar varias claves sobre un texto cifrado hasta obtener el texto nativo. En funcin del nmero de claves utilizadas el cifrado se puede clasificar en: Cifrado de clave nica o simtrico: - Se trata del cifrado convencional donde el emisor y el receptor comparten la clave de cifrado/descifrado. - Problema: la distribucin y la proteccin de las claves. simple,

Halvin Ren Gmez Aliado

Seguridad de redes

Cifrado de clave pblica o asimtrico: - Maneja dos claves, una para el cifrado y otra para el descifrado, siendo una de las claves privada de la parte que genera el par de claves y la otra se hace pblica. Criptografa Simtrica Si se utiliza la misma clave para el cifrado y el descifrado de los datos se habla de criptografa simtrica. Los mtodos que usan claves simtricas se conocen tambin como mtodos de clave secreta ya que slo aquellos entes que intervienen en la comunicacin deben conocer la clave. Si se denomina M a la informacin a transmitir an sin cifrar, K a la clave utilizada y ES() a la funcin de cifrado simtrico, en criptografa simtrica el mensaje que se trasmite es ES(K,M), resultado de cifrar M con la clave K. El mensaje original se recupera aplicando el mismo algoritmo de cifrado con la misma clave , es decir, M=ES(K,ES(K,M)). El gran problema en la criptografa simtrica est en el uso de claves secretas, las cuales deben de ser generadas por elementos seguros en muchos casos uno de los extremos de la comunicacin) y trasnmitidas por canales tambin seguros, lo que implica generalmente una va diferente de la red de comunicaciones.

Requisitos de un sistema de cifrado simtrico: - Un algoritmo de cifrado se considera robusto cuando: 1. Aun siendo conocido, no se puede descifrar un texto sin la clave. 2. No se puede descifrar un texto aunque se conozca textos cifrados mediante dicho algoritmo junto con los textos nativos de los que provienen. El emisor y el receptor deben de obtener la clave secreta de una forma segura y deben de mantenerla en secreto

Halvin Ren Gmez Aliado

Seguridad de redes

La seguridad no depende de que el algoritmo permanezca en secreto, sino de que la clave sea secreta.A

Localizacin de los dispositivos de cifrado. Existen tipos de cifrado dependiendo de la localizacin dispositivos a los que se desea realizar la seguridad del canal. Cifrado de extremo a extremo. Cifrado de enlace de los

Cifrado de enlace: - Cada enlace de comunicacin se equipa en ambos extremos con un dispositivo de cifrado. - Los paquetes se cifran y descifran en cada nodo. - Supone un nivel de seguridad elevado. - Requiere muchos dispositivos de cifrado. - Los paquetes deben descifrarse en cada nodo de conmutacin para leer la direccin de destino. - La informacin es vulnerable en los nodos de conmutacin, especialmente en las redes pblicas de conmutacin de paquetes. Cifrado de extremo a extremo - El cifrado se realiza en los sistemas finales. - Una vez cifrados los datos atraviesan la red sin ser alterados. - Para descifrar los datos el receptor debe compartir la clave con el emisor. - Los sistemas finales solo pueden cifrar los datos de usuario, no las cabeceras de los paquetes, ya que de otro modo los nodos de conmutacin no podran leer la cabecera y encaminar el paquete. - El patrn de trfico no es seguro. Entre los mtodos ms reconocidos que usan criptografa simtrica son: DES (Data encryption standard) IDEA (International data encryption algorithm)

Halvin Ren Gmez Aliado

Seguridad de redes

Criptografa Asimtrica Si la clave es distinta para el cifrado y el descifrado, se habla de criptografa asimtrica. Los mtodos que usan claves asimtricas generalmente mantienen secreta la clave empleada para el cifrado y hacen pblica entre el resto de usuarios la clave con la que deben cifrar los mensajes para que solo l los pueda descifrar, por lo que se conocen tambin como mtodos de clave pblica. Si se denomina M a la informacin a transmitir an sin cifrar, Ks a la clave secreta para el descifrado, Kp a la clave pblica para el cifrado y EA() a la funcin de cifrado asimtrico , el mensaje que se transmite es EA(Kp,M), resultado de cifrar M con la clave Kp. El mensaje original se recupera aplicando el mismo algoritmo de cifrado pero con la clave secreta, es decir, M= EA(Ks,EA(Kp,M)).

Requisitos de un sistema de cifrado simtrico: Debe ser muy difcil averiguar Ks, a partir de Kp. Debe ser muy difcil obtener la informacin que contiene el mensaje cifrado si no se dispone de Ks.

Entre los mtodos ms reconocidos que usan criptografa asimtrica son: RSA (Rivest, Shamir y Adleman) Diffie-Hellman

Halvin Ren Gmez Aliado

Seguridad de redes

3. SEGURIDAD EN EL ACCESO

Halvin Ren Gmez Aliado

Seguridad de redes