Está en la página 1de 43

INSTITUTO TECNOLOGICO DE

ACAPULCO

SEGURIDAD EN TICS
TSL/SSL
PROFESOR: DR. EDUARDO DE LA CRUZ GAMEZ

INTEGRANTES DEL EQUIPO:
CALLEJA ACEVEDO ANA MARIA
URIOTEGUI MIRANDA JORGE CARLOS
HERNANDEZ VALLE ALEJANDRO
BOLIVAR BRITO IVET BETZABET

HORARIO: 8:00-9:00 a.m.

DICIEMBRE 2014

ÍNDICE
MARCO TEÓRICO................................................................................................. 1
INTRODUCCIÓN................................................................................................ 1
PARTE PRÁCTICA.............................................................................................. 16
CUESTIONARIO............................................................................................... 36
1.- ¿?........................................................................................................... 36
2.- ¿?........................................................................................................... 36
3.- ¿?........................................................................................................... 36
CONCLUSIÓN.................................................................................................... 37
BIBLIOGRAFÍA................................................................................................... 38

MARCO TEÓRICO
INTRODUCCIÓN
El SSL es uno de los principales protocolos usados en la red por compañías que
realizan transacciones bancarias, compras, o correo electrónico; considerando que
el SSL es un sistema de cifrado de sofisticación que no requiere que el cliente y el
servidor disponga de una clave secreta para el intercambio entre estos antes de la
transacción que se ha iniciado. Toda transacción segura por la red debe
contemplar los aspectos de Autenticidad, Integridad, Confidencialidad y No
Repudio. Son varios los sistemas y tecnologías que se han desarrollado para
intentar implementar estos aspectos en las transacciones electrónicas, siendo sin
duda SSL el más conocido y usado en la actualidad. SSL permite la
Confidencialidad y la Autentificación en las transacciones por Internet, siendo
usado principalmente en aquellas transacciones en la que se intercambian datos
sensibles, como números de tarjetas de crédito o contraseñas de acceso a
sistemas privados. SSL es una de las formas base para la implementación de
soluciones PKI (Infraestructuras de Clave Pública). En el siguiente reporte se
muestra y se presenta la configuración acerca del proceso en cómo se utiliza el
protocolo SSL, usando la herramienta openSSL y el sistema operativo centOS, los
cuales son software libre, el cual nos proporciona herramientas para la creación de
certificados, un ambiente de seguridad infalible para la transferencia de
transacciones.
Secure Socket Layer es un sistema de protocolos de carácter general diseñado en
1994 por la empresa Nestcape Communcations Corporation, y está basado en la
aplicación conjunta de Criptografía Simétrica, Criptografía Asimétrica (de llave
pública), certificados digitales y firmas digitales para conseguir un canal o medio
seguro de comunicación a través de Internet. De los sistemas criptográficos
simétricos, motor principal de la encriptación de datos transferidos en la
comunicación, se aprovecha la rapidez de operación, mientras que los sistemas
asimétricos se usan para el intercambio seguro de las claves simétricas,

1

consiguiendo con ello resolver el problema de la Confidencialidad en la
transmisión de datos.
SSL implementa un protocolo de negociación para establecer una comunicación
segura a nivel de socked (nombre de máquina más puerto), de forma transparente
al usuario y a las aplicaciones que lo usan.
Actualmente es el estándar de comunicación segura en los navegadores web más
importantes (protocolo HTTP), como Nestcape Navigator e Internet Explorer, y se
espera que pronto se saquen versiones para otras otros protocolos de la capa de
Aplicación (correo, FTP, etc.).
La identidad del servidor web seguro (y a veces también del usuario cliente) se
consigue mediante el Certificado Digital correspondiente, del que se comprueba su
validez antes de iniciar el intercambio de datos sensibles (Autenticación), mientras
que de la seguridad de Integridad de los datos intercambiados se encarga la Firma
Digital mediante funciones hash y la comprobación de resúmenes de todos los
datos enviados y recibidos.
Desde el punto de vista de su implementación en los modelos de referencia OSI y
TCP/IP, SSL se introduce como una especie de nivel o capa adicional, situada
entre la capa de Aplicación y la capa de Transporte, sustituyendo los sockets del
sistema operativo, lo que hace que sea independiente de la aplicación que lo
utilice, y se implementa generalmente en el puerto 443. (NOTA: Los puertos son
las interfaces que hay entre las aplicaciones y la pila de protocolos TCP/IP del
sistema operativo).

2

aunque actualmente ya es posible su implementación en los navegadores  más comunes. permitiendo 7. volviéndolos a reensamblarlos en el receptor. en teoría sólo se permite su uso comercial en Estados Unidos. RC2. permite 3. que usa los algoritmos simétricos de encriptación DES.0 de SSL. da la misma fortaleza al sistema. la función hash MD5 y el algoritmo de firma SHA-1. ya que son posibles 3. aunque actualmente ya es posible su implementación  en los navegadores más comunes. aunque es un número inferior que el del caso anterior. el asimétrico RSA. y es el que suelen traer por defecto los 3 .7 * 1050 claves simétricas diferentes. también puede aplicar algoritmos de compresión a los datos a enviar y fragmentar los bloques de tamaño mayor a 214 bytes. siendo los más habituales los siguientes:  RSA + Triple DES de 168 bits + SHA-1: soportado por las versiones 2.0. permite 3.0 y 3. RC4 e IDEA. grandes empresas y entidades bancarias. RSA + RC4 de 128 bits + MD5: soportado por las versiones 2.0. Sólo se permite su uso comercial en Estados Unidos.  aplicándose sobre todo en transacciones bancarias. Los algoritmos. encriptado los datos salientes de la capa de Aplicación antes de que estos sean segmentados en la capa de Transporte y encapsulados y enviados por las capas inferiores.0 y 3.0 y 3. aunque es más lento a la hora de operar. TRIPLE DES. Es más. RSA + DES de 56 bits + SHA-1: soportado por las versiones 2. longitudes de clave y funciones hash de resumen usado en SSL dependen del nivel de seguridad que se busque o se permita. es uno de los conjuntos más fuertes en cuanto a seguridad. Por ahora sólo está permitido su uso en Estados Unidos. Análogamente. La versión más actual de SSL es la 3.4 * 10 38 claves simétricas diferentes. por lo que es muy difícil de romper.SSL proporciona servicios de seguridad a la pila de protocolos. aunque es el caso de la versión 2.4 * 10 38 claves simétricas diferentes que.2 * 10 16 claves simétricas diferentes. y es de fortaleza similar a los anteriores.0 de SSL. RSA + RC2 de 128 bits + MD5: soportado sólo por SSL 2.0 de SSL. Es un sistema menos seguro que los anteriores. siendo usado por organismos gubernamentales.0 se suele usar MD5 en vez de SHA-1.

Permite aproximadamente 1.0 y 3. se requiere si es necesaria la autenticación del usuario ante el servidor. Al recibir esta 4 . consistente en que cliente y servidor se envían uno al otro una copia de todas las transacciones llevadas a cabo hasta el momento. Como medida adicional de seguridad. que debe devolvérsela cifrada con su clave privada.navegadores web en la actualidad (en realidad son 48 bits para clave y 8  para comprobación de errores). el cliente genera una clave aleatoria temporal y se la envía al servidor. iniciándose la conexión segura. encriptándola con la llave simétrica común. Esta clave maestra se usará para generar todas las claves y números secretos utilizados en SSL. que es enviada al servidor de forma segura encriptándola asimétricamente con la llave pública del mismo que aparece en el Certificado Digital. RSA + RC4 de 40 bits + MD5: soportado por las versiones 2. y una velocidad de proceso muy elevada. El cliente la descifra con la llave pública y comprueba la coincidencia. conocida con el nombre de clave maestra. Así y todo. pero en sentido inverso. para que empiecen las transmisiones de datos protegidos se requiere otra verificación previa. denominada Finished.1 * 10 12 claves simétricas diferentes. con lo que está totalmente seguro de que el servidor es quién dice ser. Si todo está correcto el cliente genera un número aleatorio que va a servir para calcular una clave de sesión correspondiente al algoritmo de encriptación simétrico negociado antes.0 de SSL. ha sido el sistema más común permitido para exportaciones fuera de Estados Unidos. aunque su seguridad es ya cuestionable con las técnicas de Criptoanálisis actuales. Se pasa entonces el control al subprotocolo Change Cipher Spec. Y un proceso análogo a éste. Con esto servidor y cliente se han identificado y tienen en su poder todos los componentes necesarios para empezar a transmitir información cifrada simétricamente.

ACTUAL-DATA: datos de aplicación a transmitir. 2. MAC-DATA: código de autenticación del mensaje. cada host la desencripta y la compara con el registro propio de las transacciones. PADDING-DATA: datos requeridos para rellenar el mensaje cuando se usa un sistema de cifrado en bloque.copia. es decir. Esto se realiza mediante el Protocolo SSL Record (Protocolo de Registro SSL). • La autenticación y la integridad de los datos recibidos mediante el resumen de cada mensaje recibido concatenado con un número de de secuencia y 5 . qué formato de datos se va a usar en la transmisión cifrada. Para empezar a transmitir datos cifrados en necesario que cliente y servidor se pongan de acuerdo respecto a la forma común de encapsular los datos que se van a intercambiar. • La compresión de los bloques obtenidos mediante el algoritmo de compresión negociado anteriormente. que establece tres componentes para la porción de datos del protocolo: 1. Si las transacciones de los dos host coinciden significa que los datos enviados y recibidos durante todo el proceso no han sido modificados por un tercero. usando para ello los parámetros de encriptación y resumen negociados previamente mediante el protocolo SSL Handshake. Sus principales misiones son: La fragmentación de los mensajes mayores de 214 bytes en bloques más pequeños. 3. El Protocolo de Registro es el encargado de la seguridad en el intercambio los datos que le llegan desde las aplicaciones superiores. Se termina entonces la fase Handshake.

La integridad se comprueba mediante la función hash negociada. Con esta base. que viaja siempre encriptado. que habrá sido negociado previamente en la fase Handshake. Tras todos estos requisitos. Existen dos tipos posibles de encriptación: A. El resultado de esta concatenación se denomina MAC. y mediante el número de secuencia. la autenticación se comprueba mediante el número secreto. y se añade al mensaje. B. Este método de cifrado se conoce con el nombre de Cipher Block Chainning.un número secreto establecidos en el estado de conexión. CBC. y precisa un vector inicial. en el que se encriptan los datos realizando una operación lógica ORExclusiva entre los bytes y un generador pseudoaleatorio usando el algoritmo RC4. Cifrado en bloque: se cifran los datos en bloques de 64 bits. el canal seguro está listo para empezar la transmisión de datos de forma segura. 6 . indicándose la adición en el formato del mensaje. Si el mensaje no es múltiplo de 64 bits se le añaden los bits de relleno necesarios para obtener un número entero de bloques completos. Cifrado Stream: o de flujo. compartido por el cliente y el servidor. Como algoritmos de cifrado se usan RC2 y DES. La confidencialidad se asegura encriptando los bloques y sus resúmenes mediante el algoritmo simétrico y la clave correspondiente negociadas en la fase Handshake.

vuelve a obtener el resumen a partir del original y lo compara con el recibido. generalmente porque el cliente así lo desea. Cuando el destinatario los recibe. cuando la transferencia de mensajes ha finalizado y se desea cerrar la comunicación segura. Si no coinciden.Cuando el cliente o el servidor desean transmitir algún mensaje al otro se genera automáticamente un resumen del mismo mediante la función has acordada. y si es aceptada por el usuario. Cada uno de los mensajes enviados por cliente o servidor sufre este proceso de verificación. sin intromisiones externas.) lanza una ventana de aviso de que se va a cerrar la comunicación SSL. Por ejemplo el proceso se muestra en el siguiente esquema. finalizando el proceso SSL. Si coinciden hay seguridad de que la comunicación segura se ha producido satisfactoriamente. 7 . la aplicación cliente (el navegador web. desencripta todo. se encriptan mensaje y resumen con la clave simétrica acordada y se envían los datos. p. se pone en conocimiento del otro host.e. se sale de la misma y se regresa a una comunicación normal. y si es preciso se suspende la conexión SSL. Por último.

lo que permite a cualquier usuario con 8 . Solicitud de establecimiento de una conexión segura por SSL 2. Transmisión de una clave de encriptación única (codificada con la clave pública del servidor) 4.1. Presentación del certificado. Comprobaciones realizadas en el certificado en esta fase:  Validez  Firma por un tercero de confianza 3. Desencriptado de la clave de encriptación por el servidor utilizando su clave privada  Establecimiento de la conexión segura Implementación del protocolo SSL Por la parte del cliente. SSL viene implementado por defecto en los navegadores Internet Explorer y Nestcape Navigator.

Ya con el servidor certificado.). etc. Existen en España diferentes entidades bancarias y financieras que ofrecen estos sistemas a los comerciantes realizándose la comunicación entre comerciante y banco a través de un protocolo seguro privado en la mayoría de los casos. ya que la misma está considerada como de toda confianza por los navegadores cliente. Apache en Unix. de forma similar a lo que ocurre cuando pagamos en una tienda "real" con nuestra tarjeta de crédito. Estos sistemas se suelen conocer con el nombre genérico de Pasarelas de Pago. solicitándolo a una Autoridad Certificadora de prestigio reconocido. el vendedor obtiene el PIN de la tarjeta de crédito del cliente. que dicha autoridad sea Verisign. En el momento del pago. Si 9 . por lo que deberá disponer de algún sistema que permita el envío de estos datos a una entidad financiera capaz de realizar la transferencia bancaria necesaria para completar el pago. que han hecho posible un crecimiento importante en las transacciones por Internet. por lo que viene activada por defecto en los navegadores cliente. Existen en la actualidad diferentes versiones del conjunto de protocolos SSL que se pueden implementar en los distintos servidores y que corren bajo los sistemas operativos más comunes (IIS en Windows NT-2000-XP. la fecha de caducidad y sus datos personales (si el pago se realiza por este método). Ventajas e inconvenientes de SSL La tecnología basada en los protocolos Secure Socket Layer proporcionó grandes avances en la implantación de sistemas de comunicación seguros. es obligatoria la obtención de un Certificado Digital para el vendedor o para el servidor seguro. En primer lugar. conviniendo. si es posible. el usuario podrá realizar su compra.uno de estos navegadores poder realizar compras por Internet de forma segura sin tener que conocer el sistema a fondo ni preocuparse de instalar programas adicionales (por lo menos autenticando al servidor web y con confidencialidad e integridad asegurada en la transacción). La implementación en la parte servidora (la tienda o banco por lo general) es un poco más compleja.

Esto conlleva el tener que prestar mucha atención a los resguardos de nuestras operaciones en cajeros automáticos. pero no proporciona ninguna seguridad 10 . a desconfiar cuando un empleado de una tienda o cafetería desaparece con nuestra tarjeta para cobrar el importe de nuestra compra. una de las aplicaciones más comunes de SSL es el de las aplicaciones bancarias.  Confidencialidad: SSL proporciona una buena seguridad de que los datos no van a ser capturados por extraños de forma útil en el proceso de transferencia de los mismos. Por ejemplo. lo que conlleva los típicos problemas a la hora de manejar claves: cambiarlas cada cierto tiempo. cualquier persona que obtenga el número de nuestra tarjeta y unos pocos datos personales nuestros puede realizar compras en nuestro nombre. Cuando nos conectamos a la página web de nuestro banco para consultar las cuentas o realizar alguna operación. Y el tema e complica cuando tenemos que seguir las mismas precauciones con cada una de las diferentes claves que los diferentes bancos y servidores seguros nos requieren. mantenerlas bien protegidas. lo que origina que éstas añadan una comisión en las compras bastante elevada (sobre un 5%). elegirlas adecuadamente. no es obligada en la mayoría de los casos la presencia del certificado del usuario que se está conectando al servidor. el servidor web tan sólo nos pide las contraseñas de acceso.estudiamos SSL desde el punto de vista de las bases necesarias para considerar una comunicación segura podemos sacar las siguientes conclusiones:  Autenticidad: SSL requiere para su funcionamiento la identificación del servidor web ante el cliente y la realiza adecuadamente. etc. Es decir. etc. pero normalmente no se produce una identificación en sentido contrario. que incrementa el precio final del producto a la venta. Otro de los usos comunes de SSL es la protección de números de tarjetas de crédito o débito en compras por Internet. Pero como no se exige el uso del Certificado de Cliente. Este es precisamente uno de los tipos de fraude más comunes y que causa mayores pérdidas a las compañías de crédito.

el número de nuestra tarjeta y demás datos quedan en un medio que no controlamos y que no tiene porqué ser seguro. cuál ha sido y quiénes han intervenido en ella. pudiendo tener acceso a los mismos cualquier empleado de la tienda. Integridad: ocurre algo parecido a lo anterior.después de finalizar la conexión. para la cual enviamos los datos de nuestra tarjeta de crédito mediante SSL. que normalmente los almacena en una base de datos. SSL no proporciona formas de emitir recibos válidos que identifiquen una transacción. sólo las empresas con una honradez demostrada podrán a priori ganarse la confianza de los potenciales clientes. Con ello. y que cuando nos llega a casa decimos que nosotros no hemos hecho ninguna compra. ¿Porqué?. Pero una vez que finaliza la  conexión segura no podemos estar tranquilos. devolvemos el ordenador y requerimos la devolución del dinero. etc. un ordenador por ejemplo. En el corto proceso que dura el envío de datos sí podemos estar seguros de que éstos no van a ser modificados. Vemos pues que SSL carece de muchos de los elementos necesarios para construir un sistema de transacciones seguras usando Internet. Dichos datos quedan en poder del responsable de la tienda. puesto que SSL lo impide. como SET. un hacker que entre en el ordenador en el  que reside la base de datos. pero el caso es que hasta ahora ninguno de ellos ha conseguido desplazar a SSL. Vamos ahora a suponer que realizamos un pedido a una tienda on-line. No Repudio: Este aspecto SSL falla al máximo. Supongamos que realizamos una compra por Internet. Por este motivo. Con SSL toda la seguridad de la transacción recae en la confianza que el cliente tenga en el vendedor. Para intentar paliar estos fallos se han intentado sacar al mercado y estandarizar otros sistemas diferentes. pues en las manos del mismo está el ser honrado y no realizar ningún fraude con los datos obtenidos y en la posterior entrega del producto comprado. Tal vez sea 11 . que veremos a continuación. ya que no hay por defecto establecido ningún método para dejar constancia de cuándo se ha realizado una operación.

todas las transacciones que se realizan mediante un sitio web son procesadas a nivel de capa aplicación3 por este protocolo no seguro. HTTP: El protocolo sobre el cual funcionan los sistemas web se denomina HTTP (Hypertext Transfer Protocol). que se encarga de avisar de los problemas que ocurren durante la conexión. dentro de una red insegura como lo es la Internet o redes de acceso público.2 (dentro del modelo TCP/IP) cuya información se encuentra en el RFC 2818 y cuyo puerto por defecto es el 443. en sí es una implementación de HTTP que brinda seguridad en la transferencia de datos durante una conexión. SSL actúa computacionalmente como una máquina de estados: durante el intercambio de datos hay en todo momento un estado de escritura activo y otro pendiente y lo mismo ocurre respecto a la lectura de datos. y que pueden llevar a la finalización brusca de la sesión. denominado Alerta. fácil de implementar. realizándose el cambio de estados mediante un subprotocolo especial del Handshake denominado Change Cipher Spec. HTTPS requiere el empleo de cifrado y manejo de certificados apropiados para brindar seguridad a la conexión. SSL/TLS e IP. SSL es igualmente sencillo de implementar. a pesar de sus fallos. Y desde el punto de vista del comerciante o de la empresa que le facilita el hosting. Este protocolo es muy 12 . no precisando de servidores de especiales características. El protocolo HTTPS es manejado por los navegadores web actuales. mediante un ataque de ―escucha‖ conocido como ―hombre en el medio ‖. Para evitar estos inconvenientes en la transferencia de la información se creó el protocolo HTTPS (Hypertext Transfer Protocol Secure). Al no implementar seguridad. Los protocolos que implican está conexión son: HTTPS. fácilmente se podría suplantar la identidad de la página web o sustraer información confidencial. que no tiene que conocer cómo funciona. HTTPS: HTTPS es un protocolo de capa aplicación figura 1. SSL es una tecnología rápida.porque. barata y cómoda para el usuario. tan sólo usarla. SSL Handshake posee además otro subprotocolo específico.

El proceso de autentificación y encriptación en las siguientes fases:  Fase de Inicio “Hola”. se realiza sólo cuando se usa RSA como algoritmo de intercambio de claves.Útil para que el cliente autentique al servidor. En la conexión se realiza cifrado de datos. se asegura a los clientes la autenticidad del mismo. a fin de que estos logren desencriptar la información recibida. y Privacidad ya que al emplear criptográfica dentro de la comunicación se está protegiendo los datos intercambiados entre los equipos conectados. para crear un canal el cual variara su cifrado según la negociación que realice el servidor.  Fase de producción de clave de sesión. La Autenticación ya que al configurar un certificado digital en el servidor. La clave privada es utilizada por el servidor para encriptar la información y debe ser mantenida en secreto.empelado en portales de instituciones bancarias.. para esto HTTPS emplea los protocolos SSL/TLS.  Fase de intercambio de claves. comercio electrónico y cualquier sistema que maneja información sensible de sus clientes.Produce el intercambio de información sobre las claves públicas. con el navegador del cliente. el cual debe ser generado por una autoridad de certificación valida. El empleo del protocolo SSL bajo HTTPS implementa a la conexión autenticación y privacidad mediante el cifrado de datos intercambiados entre el servidor y el cliente. 13 .  Fase de verificación del servidor. obtiene un certificado digital. Para el manejo del certificado se requiere dos claves una pública y una privada. FUNCIONAMIENTO DE HTTPS Cuando un usuario se conecta a un servidor con implementación HTTPS.Define el conjunto de algoritmos para mantener privacidad y para ejecutar la autenticación. La clave pública es distribuida a los clientes. de no ser así el navegador generara un mensaje de alerta indicado al usuario la posibilidad de un ataque y sugerirá al usuario abortar la conexión al servidor....Genera una clave que se usa para cifrar los datos intercambiados.

por lo que se recomienda manejar con mucha precaución esta configuración. aumentando la vulnerabilidad del sitio web. Otro tipo de información como gráficos y animaciones no se recomienda cifrar debido al gran tamaño de estos archivos.509. sólo si es necesario autenticar al cliente. lo que ocasiona un decremento en la velocidad de transmisión y mayor empleo de recursos de procesamiento de datos. Fase de autenticación del cliente.  Fase de fin. La implementación de SSL en la conexión implica un aumento en la carga de procesamiento de la información debido al cifrado de datos y establecimiento de la comunicación. Debido a este inconveniente se recomienda realizar un análisis de la información a proteger para limitar la cantidad de elementos a ser cifrados como: usuarios y contraseñas. 14 .Indica que se puede comenzar la sesión de transferencia de información segura..El servidor solicita al cliente un certificado X. información personal o confidencial.. Una incorrecta implementación de los certificados y/o el incorrecto manejo de la llave privada pueden ocasionar graves fallas de seguridad de la información y decremento de la velocidad.

si el servidor tiene habilitado SSL. está enviando un número de la tarjeta de crédito y desea controlar la identidad del servidor. El cliente confía en los certificados emitidos por unas CA concretas. por ejemplo. Teoría sobre Sockets Seguros (SSL) Secure Sockets Layer. SSL permite: 1) Que el cliente compruebe (autentificar) la identidad de la máquina servidor (pero no del usuario final). Un cliente que soporte SSL puede utilizar técnicas de la criptografía de llave pública para comprobar que el certificado y la identidad de un servidor están validados por una Autoridad de Certificación (CA). demostrarlo. 15 . Esta comprobación puede ser interesante si el cliente. es un protocolo desarrollado por Netscape para transmitir documentos privados por Internet. Objetivos específicos   Realizar un análisis del funcionamiento del protocolo SSL/TSL Realizar una implementación de un servidor WEB seguro con soporte de  comercio electrónico. Realizar ejemplos conexiones seguras entre un cliente y el servidor WEB. SSL.PARTE PRÁCTICA Objetivo Diseñar una estrategia de seguridad en un servidor WEB habilitado para soportar un modelo de comercio electrónico. El SSL trabaja usando una llave privada para cifrar los datos que se transfieren por la conexión SSL.

por ejemplo. para detectar automáticamente si los datos se han modificado en tránsito. Todos los datos enviados a través de una conexión cifrada SSL viajan no solamente cifrados sino protegidos con un mecanismo para detectar alteraciones. El proceso de inicio de una conexión SSL es: Fase de negociación: • El cliente envía al servidor el número de versión del SSL. 3) permite que entre ambas máquinas se establezca una conexión cifrada o segura. es un sistema que envía la información financiera confidencial a un cliente y desea controlar la identidad del destinatario. un dato generado aleatoriamente y su propio certificado. IMAP. el servidor con SSL puede comprobar que el certificado y la identidad del usuario cliente están validados por una CA. 16 . Si no se puede comprobar la identidad del servidor el usuario es avisado del problema. es decir.2) [opcional y poco frecuente] Que el servidor compruebe la identidad del usuario cliente. Si se usa autentificación del cliente. el servidor pide el certificado del cliente. Por convenio. Fase de creación de llaves simétricas: El cliente usa la información proporcionada por el servidor para comprobar su identidad. ciertas propiedades del cifrado. • El servidor envía al cliente el número de versión del SSL. ciertas propiedades del cifrado y un dato generado aleatoriamente. El protocolo de transporte seguro SSL trabaja sobre el TCP/IP y da servicio a protocolos de alto nivel tales como HTTP. SMTP. Con las mismas técnicas de la autentificación del servidor. la URL de los sitios Web que requieren SSL empieza por https y utilizan un puerto distinto. Esta comprobación puede ser importante si el servidor.

¿Cuáles algoritmos son soportados por su propuesta de servidor seguro? Demuéstrelo. Fase de intercambio: • Tanto el cliente como el servidor envían un primer mensaje cifrado para indicar al otro que todo el proceso se ha realizado correctamente.• Usando la información intercambiada el cliente crea un secreto de sesión temporal. • A partir de este momento todo el intercambio de datos entre el cliente y el servidor será cifrada. incluida la comprobación de la identidad del cliente.  El sistema operativo que alojará el servicio https es opcional. ¿Quién da fe o certifica su servidor seguro? 2.  Es aceptable tanto SSL como TSL. con el crearán las llaves simétricas de cifrado de la sesión. Lo cifra con la llave pública del servidor. Condiciones de la práctica  Autenticación de certificados. R= 4. • Si todo el proceso ha sido correcto. Preguntas detonantes 1. Si se usa autentificación del cliente. tanto el cliente como el servidor usa el secreto temporal para generar el secreto de la conexión.  Identificar las fases de negociación y establecimiento de la sesión segura. demostrarlo. ¿Existe evidencia de un ataque exitoso a este sistema? 17 . ¿Qué diferencia existe entre una VPN y un servicio https? 3. el cliente también envía su certificado. y lo envía al servidor. forma parte del certificado.

R= si existe evidencia sobre ataque al protocolo SSL. en 2012 se presentó una nueva técnica de ataque llamado CRIME utilizado para comprometer la integridad de a secciones HTTP protegidas por SSL Primero iniciamos nuestro servidor y cambiamos el nombre para tenerlo identificada Después vamos a inicio/ herramientas administrativas/administrador del servidor 18 .

damos clic en el enlace características y después agregar característica 19 .Una vez que el administrador del servidor se ejecute.

20 .En la siguiente ventana damos clic en servicio WAS pero en las opciones de modelo de proceso y API de configuración.

Esperamos a que finalice la instalación y de damos clic en cerrar Después vamos a dar clic en funciones y luego agregar funciones 21 .

luego de damos clic en siguiente 22 .Seleccionamos la función de servidor web (IIS) y de damos en siguiente Después nos aparecerá una breve información sobre el servidor IIS.

En el siguiente ventana nos aparece las casillas de herramientas de administración activamos la opción de consola de administración IIS 23 .

A continuación e nos muestra una notificación sobre lo que se va a instalar damos clic en instalar. una vez finalizada damos cli en cerrar Luego vamos a inicio/herramientas administrativas/administración de internet infomartion services (IIS) 24 . Esperamos a que termine la instalación.

en donde está el nombre del nuestro servidor desplegamos su contenidos 25 .Esperamos a que inicie el entorno de IIS.

Damos clic derecho. y seleccionamos agregar sitio web Después se nos muestra el siguiente formulario en el cual podemos el nombre del sitio. la dirección de los archivos del sitio y la ip de nuestro servidor y damos clic en siguiente 26 .

y automáticamente nuestro sitio que activado Después para crear el certificado ssl.A continuación se muestra la configuración que se estableció anteriormente. damos clic en sitio y luego doble clic en certificados de servidor 27 .

seleccionamos crear certificado auto firmado Después se nos pide agregar un nombre para el certificado lo cual de podemos el nombre de nuestra tienda 28 .Una vez dentro damos clic derecho dentro el espacio en blanco.

el nombre. para esto vamos a la opción de enlace y damos clic en el 29 . Después vamos a vincular nuestro sitio web con el certificado. para quien fue emitido y por quien.Después de crear el certificado podemos vez algunas característica como el hash.

Por defecto nos aparece la configuración inicial de nuestro sitio web pero sin certificado. para comenzar el enlace damos clic en agregar En este caso seleccionamos el certificado tienda y el tipo de protocolo HTTPS Abrimos nuestro navegador y podemos la IP de nuestro servidor 30 .

A continuación nos aparecerá una notificación de advertencia que exite un problema con el certificado. damos clic en vaya a este sitio web (no recomendado) A continuación nos muestra dos mensaje de aviso de damos clic en aceptar y esperamos a que cargue nuestra pagina 31 .

Vemos el certificado. y la información que muestra es la misma que se mostró anteriormente Vemos en detalle de nuestro certificado SSL y vemos que la clave pública es de 2048 bits y un cifrado de RSA 32 .

nos dirigimos a un equipo cliente cual tiene una dirección ip: http://192. 33 .Observación por lado del cliente Ahora con el servidor encendido.0.101 y tecleamos la dirección ip de la página que se ha creado en nuestro servidor la cual vemos que se muestra la página sin seguridad.168.

Para probar que tiene certificado habilitamos el SSL solo poniendo https: 192.100 a nuestra dirección ip lo cual se abrirá de la siguiente manera.0.168. 34 .

mostrado anteriormente por parte del cliente 35 .Comprobamos que en verdad se está ejecutando el certificado SSL en el lado del cliente. Podemos ver que se trata del mismo certificado de 2048 bits.

Mientras que HTTPS (Hypertext Transfer Protocol Secure ). seguridad y políticas de gestión de una red privada. Protocolo de transferencia de hipertexto seguro es un protocolo de comunicaciones para la comunicación segura a través de una. no es un protocolo en sí 36 . Técnicamente. esto se analiza estableciendo una conexión virtual punto a punto mediante el uso de conexiones dedicadas.. permite que la computadora en la red envié y reciba datos sobre redes compartidas o públicas como si fuera una red privada con toda la funcionalidad.Análisis en wireshark CUESTIONARIO 1. cifrada o la combinación de ambos métodos. es una tecnología de red que permite una extensión segura de la red local (LAN) sobre un red pública o no controlada como internet.¿Qué diferencia existe entre una VPN y un servicio HTTPS? Una red privad virtual o VPN. con especialmente amplia implantación en el Internet .

Demuéstrelo Se utilizó el algoritmo SHA-1 con cifrado RSA.. a continuación se muestra como fue utilizado el algoritmo para nuestro servidor 37 .¿Cuáles algoritmo son soportados por su propuesta de servidor seguro?. por lo tanto la adición de las capacidades de seguridad de SSL/TLS para las comunicaciones HTTP estándar. más bien.mismo. es el resultado de simplemente capas de la Protocolo de transferencia de hipertexto HTTP en la parte superior de la SSL/TLS protocolo. 2.RSA es un sistema criptográfico de clave pública para el cifrado y la autentificación del usuario. RSA se combina con la función de hash SHA 1 para firmar un mensaje y encontrarlos a un valor determinado o para encontrar dos mensaje que generen aleatoriamente el mismo valor.

en este caso es RSA en el cliente 38 .En esta imagen observamos el candado donde nos muestra la seguridad de nuestra página o el SSL que fue implementado Al darle clic sobre el enlace el enlace que dice detalle nos muestra la llave pública A continuación se muestra una captura para comprobar el tipo de algoritmo de cifrado que utiliza el TLS.

Diffie-Hellman. Triple DES o AES (Advanced Encryption Standard) Funciones hash: MD5 o de la familia SHA La autentificación y claves: Los extremos se autentifican mediante certificados digitales e intercambian las claves para el cifrado.El protocolo SSL/TSL se basa en tres fases: La negociación: los dos extremos de la comunicación (cliente y servidor) negocian que algoritmo criptográfico utilizan para autentificarse y cifrar la información. DES (Data Encryption Standard). RC4 IDEA (international data signature Algorithm). DSA (Digital Signature Algotithm) Cifrado simétrico: RC2. actualmente existen diferentes opciones: Criptografía de clave pública: RSA. según la negociación. 39 .

este tipo de método se realiza por medio de certificado que pone las pautas de cómo se va llevar la comunicación entre las dos máquinas dentro de una red inseguras.. lo cual estábamos analizando los paquetes. 40 . lo cual se procederá por cifra el mensaje por medio de un algoritmo de cifra con el AES.3.¿Existe evidencia de un ataque exitoso a este sistema? En el 2012 se presentó otra nueva técnica de ataque llamado CRIME utilizado para comprometer la integridad de las secciones HTTP protegidas por SSL CONCLUSIÓN En conclusión después de análisis el funcionamiento del SSL para realizar comunicaciones seguras en internet y comercio electrónico. triples DES. lo cual implementando los principios criptográfico que permitirá el proceso de cifrado de clave pública en un medio seguro entre dos equipo. la implementar el certificado SSL en nuestra página web se observó que en la fase de conexión entre el servidor y el cliente es más robusta y segura. todo esto es posible ya que al establecer una comunicación segura entre un cliente y servidor llevando acabo reglas de negociación entre lo mismo quien verifica y autentifica por medio de una llave pública y una privada. estos mismo estaba cifrado y que no era posible ver su contenido. etc..

jsp?id=ssl-information-center https://www.es/ssl/funcionamiento-ssl.com http://www.unam.boulder.htm http://intypedia.ovh.com/tividd/td/TRM/SC23-482200/es_ES/HTML/user277.mx/numero-10/el-cifrado-web-ssltls https://publib.BIBLIOGRAFÍA http://revista.com/es/es/page.symantec.seguridad.ibm.xml 41 .