Está en la página 1de 9

FIRMAS DIGITALES

Una firma digital es un esquema matemtico que sirve para demostrar la autenticidad de un
mensaje digital o de un documento electrnico. Una firma digital da al destinatario seguridad
en que el mensaje fue creado por el remitente, y que no fue alterado durante la transmisin.

Consiste en un mtodo criptogrfico que asocia la identidad de una persona o de un equipo


informtico al mensaje o documento. En funcin del tipo de firma, puede, adems, asegurar la
integridad del documento o mensaje.

La firma digital de un documento es el resultado de aplicar cierto algoritmo matemtico,


denominado funcin hash, a su contenido y, seguidamente, aplicar el algoritmo de firma (en el
que se emplea una clave privada) al resultado de la operacin anterior, generando la firma
electrnica o digital.

Funciones
Que el mensaje proviene de la persona que se dice lo enva (autenticacin o autora)
Que no ha sido alterado en el camino (integridad)
Que la persona emisora no podr negar su envo,
Que la persona destinataria no podr negar su recepcin
Y adems, en su caso, de garantizar su confidencialidad.

Cristologa
A) Criptografa Simtrica:

En el proceso de cifrado y descifrado las partes deben compartir una clave comn que es
usada para cifrar y descifrar, y que se ha acordado de forma previa. La clave debe ser secreta
para evitar el acceso no autorizado.

B) Criptografa asimtrica:

Est basada en el uso de un par de claves asociadas: una clave privada, conocida slo por su
titular, que debe mantenerla en secreto y una clave pblica relacionada matemticamente con
ella, y que puede ser accesible para cualquiera.

Como se usa la Firma Digital


Se adjudica una clave privada que solo se activa por medio de un cdigo alfanumrico,
conocido, en teora, solo por el titular
A la clave privada va unida una clave pblica, de pblico conocimiento
Al firmar un mensaje, el titular aplicar su firma digital activando la clave privada
El receptor del mensaje recibe el email con la firma digital
El receptor comprueba con la clave publica la autenticidad
ADMINITRACION DE CLAVES PBLICAS
Certificados
Su funcin principal es enlazar una clave pblica con el nombre de un personaje.
CA emite certificados a las claves pblicas que pertenecen a las personas y firma de
hash SHA-1.
Un certificado digital tambin establece la identidad de un usuario en una red.
Los servidores pueden ser configurados para permitir el acceso a usuarios con ciertos
certificados
Los clientes pueden ser configurados para confiar en servidores que presentan ciertos
certificados

X.509
El estndar, internacionalmente aceptado, para Certificados Digitales, es el
denominado X.509, en su versin 3.
Contiene datos del sujeto, como su nombre, direccin, correo electrnico, etc...
Con la versin 3 de X.509, sucesora de la versin 2, no hace falta aplicar restricciones
sobre la estructura de las CAs gracias a la definicin de las extensiones de certificados.
Se permite que una organizacin pueda definir sus propias extensiones para contener
informacin especfica dentro de su entorno de operacin. Este tipo de certificados es
el que usa el protocolo de comercio electrnico.

SEGURIDAD EN LA COMUNICACION

IPsec
IPsec (Abreviatura de Internet Protocol security) es un conjunto de protocolos cuya funcin es
asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando
y/o cifrando cada paquete IP en un flujo de datos. IPsec tambin incluye protocolos para
el establecimiento de claves de cifrado.

Los protocolos de IPsec actan en la capa de red, la capa 3 del modelo OSI. Otros protocolos
de seguridad para Internet de uso extendido, como SSL, TLS y SSH operan de la capa de
aplicacin (capa 7 del modelo OSI). Esto hace que IPsec sea ms flexible, ya que puede ser
utilizado para proteger protocolos de la capa 4, incluyendo TCP y UDP.
Algunas de las funcionalidades que provee son:

Autenticacin: una firma digital es utilizada para verificar la identidad del remitente.
IPSec puede utilizar certificados digitales, Kerberos o una clave compartida
previamente.
Integridad: un algoritmo de hash es utilizado para garantizar que la informacin no ha
sido modificada en trnsito. A partir del paquete original, se calcula un HMAC (Hash
Message Authentication Code).
Confidencialidad: se utilizan algoritmos de cifrado para asegurar que la informacin
transmitida, aunque interceptada, no pueda ser descifrada.
Anti-repeticin: previene que un atacante reenve paquetes en un intento de acceder a
la red.
No repudio: se utilizan firmas digitales para garantizar que el remitente no pueda negar
el envo.
Claves dinmicas: las claves pueden ser creadas durante la sesin en forma dinmica,
protegiendo distintos segmentos de la informacin con diferentes claves.
Regeneracin de claves: el algoritmo de intercambio de claves Diffie-Hellman se utiliza
para habilitar que dos equipos intercambien una clave de cifrado.
Filtrado de paquetes IP: es posible filtrar e incluso bloquear tipos de trficos especficos,
basado en cualquier combinacin de direccin IP, protocolo y puerto.

ENCRIPTACION IPsec

Existen dos modos de encriptacin:

En modo transporte, slo la carga til (los datos que se transfieren) del paquete IP es cifrada
y/o autenticada. El enrutamiento permanece intacto, ya que no se modifica ni se cifra la
cabecera IP; sin embargo, cuando se utiliza la cabecera de autenticacin (AH), las direcciones
IP no pueden ser traducidas, ya que eso invalidara el hash.

Las capas de transporte y aplicacin estn siempre aseguradas por un hash, de forma que no
pueden ser modificadas de ninguna manera (por ejemplo traduciendo los nmeros de puerto
TCP y UDP).

El modo transporte se utiliza para comunicaciones ordenador a ordenador.

En el modo tnel, todo el paquete IP (datos ms cabeceras del mensaje) es cifrado y/o
autenticado. Debe ser entonces encapsulado en un nuevo paquete IP para que funcione el
enrutamiento.
El modo tnel se utiliza para comunicaciones red a red (tneles seguros entre routers, p.e.
para VPNs) o comunicaciones ordenador a red u ordenador a ordenador sobre Internet.

El propsito de este modo es establecer una comunicacin segura entre dos redes remotas
sobre un canal inseguro.

FIREWALL

Un firewall o cortafuegos es un dispositivo de hardware o un software que nos permite gestionar


y filtrar la totalidad de trfico entrante y saliente que hay entre 2 redes u ordenadores de una
misma red.

Si el trfico entrante o saliente cumple con una serie de Reglas que nosotros podemos
especificar, entonces el trfico podr acceder o salir de nuestra red u ordenador sin restriccin
alguna. En caso de no cumplir las reglas el trfico entrante o saliente ser bloqueado.

Por lo tanto un firewall bien configurado podemos evitar intrusiones no deseadas en nuestra
red y ordenador as como tambin bloquear cierto tipo de trfico saliente de nuestro ordenador
o nuestra red.

Para que sirve un Firewall

Bsicamente la funcin de un firewall es proteger los equipos individuales, servidores o


equipos conectados en red contra accesos no deseados de intrusos que nos pueden robar
datos confidenciales, hacer perder informacin valiosa o incluso denegar servicios en nuestra
red.

Es recomendable utilizar un firewall por los siguientes motivos:

Preservar nuestra seguridad y privacidad.


Para proteger nuestra red domstica o empresarial.
Para tener a salvo la informacin almacenada en nuestra red, servidores u
ordenadores.
Para evitar intrusiones de usuarios usuarios no deseados en nuestra red y ordenador.
Los usuarios no deseados tanto pueden ser hackers como usuarios pertenecientes a
nuestra misma red.
Para evitar posibles ataques de denegacin de servicio.
Funcionamiento

El firewall normalmente se encuentra en el punto de unin entre 2 redes: una red pblica
(internet) y una red privada.

As mismo tambin cada una de las subredes dentro de nuestra red puede tener otro firewall, y
cada uno de los equipos a la vez puede tener su propio firewall por software. De esta forma, en
caso de ataques podemos limitar las consecuencias ya que podremos evitar que los daos de
una subred se propaguen a la otra.

Lo primero que se tiene que saber para conocer el funcionamiento de un firewall es que la
totalidad de informacin y trfico que pasa por el router y que se transmite entre redes es
analizada por cada uno de los firewall presentes en la red.

Si el trfico cumple con las reglas que se han configurado en los firewall el trfico podr entrar
o salir de la red.
Si el trfico no cumple con las reglas que se han configurado en los firewall entonces el trfico
se bloquear no pudiendo llegar a su destino.

Tipos de reglas que se pueden implementar en un firewall

El tipo de reglas y funcionalidades que se pueden construir en un firewall son las siguientes:

1. Administrar los accesos de los usuarios a los servicios privados de la red como por
ejemplo aplicaciones de un servidor.
2. Registrar todos los intentos de entrada y salida de una red. Los intentos de entrada y
salida se almacenan en logs.
3. Filtrar paquetes en funcin de su origen, destino, y nmero de puerto. Esto se conoce
como filtro de direcciones. As por lo tanto con el filtro de direcciones podemos
bloquear o aceptar el acceso a nuestro equipo de la IP 192.168.1.125 a travs del
puerto 22. Recordar solo que el puerto 22 acostumbra a ser el puerto de un servidor
SSH.
4. Filtrar determinados tipos de trfico en nuestra red u ordenador personal. Esto
tambin se conoce como filtrado de protocolo. El filtro de protocolo permite aceptar o
rechazar el trfico en funcin del protocolo utilizado. Distintos tipos de protocolos que
se pueden utilizar son http, https, Telnet, TCP, UDP, SSH, FTP, etc.
5. Controlar el nmero de conexiones que se estn produciendo desde un mismo punto y
bloquearlas en el caso que superen un determinado lmite. De este modo es posible
evitar algunos ataques de denegacin de servicio.
6. Controlar las aplicaciones que pueden acceder a Internet. As por lo tanto podemos
restringir el acceso a ciertas aplicaciones, como por ejemplo dropbox, a un
determinado grupo de usuarios.
7. Deteccin de puertos que estn en escucha y en principio no deberan estarlo. As por
lo tanto el firewall nos puede advertir que una aplicacin quiere utilizar un puerto para
esperar conexiones entrantes.

Limitaciones de los firewall


Lgicamente un Firewall dispone de una serie de limitaciones. Las limitaciones principales de
un firewall son las siguientes:

1. Un firewall en principio es probable que no nos pueda proteger contra ciertas


vulnerabilidades internas. Por ejemplo cualquier usuario puede borrar el contenido de
un ordenador sin que el firewall lo evite, introducir un USB en el ordenador y robar
informacin, etc.
2. Los firewall solo nos protegen frente a los ataques que atraviesen el firewall. Por lo
tanto no puede repeler la totalidad de ataques que puede recibir nuestra red o
servidor.
3. Un firewall da una sensacin de seguridad falsa. Siempre es bueno tener sistemas de
seguridad redundantes por si el firewall falla. Adems no sirve de nada realizar una
gran inversin en un firewall descuidando otros aspectos de nuestra red ya que el
atacante siempre intentar buscar el eslabn de seguridad ms dbil para poder
acceder a nuestra red. De nada sirve poner una puerta blindada en nuestra casa si
cuando nos marchamos dejamos la ventana abierta.

Tipos de firewall existentes


Existen 2 tipos de firewall.

Existen dispositivos de hardware firewall como por ejemplo un firewall cisco o Routers que
disponen de esta funcin.

Los dispositivos de hardware son una solucin excelente en el caso de tengamos que proteger
una red empresarial ya que el dispositivo proteger a la totalidad de equipos de la red y
adems podremos realizar la totalidad de la configuracin en un solo punto que ser el mismo
firewall.

Adems los firewall por hardware acostumbran a implementar funcionalidades interesantes


como pueden ser CFS, ofrecer tecnologas SSL o VPN, antivirus integrados, antispam, control
de carga, etc.

Los firewall por software son los ms comunes y los que acostumbran a usar los usuarios
domsticos en sus casas.
El firewall por software se instala directamente en los ordenadores o servidores que queremos
proteger y solo protegen el ordenador o servidor en el que lo hemos instalado. Las
funcionalidades que acostumbran a proporcionar los firewall por software son ms limitadas
que las anteriores, y adems una vez instalado el software estar consumiendo recursos de
nuestro ordenador.

REDES PRIVADAS VIRTUALES


Una red privada virtual (VPN) es una conexin punto a punto a travs de una red privada o
pblica, como Internet. Un cliente VPN usa
protocolos especiales basados en TCP/IP
llamados protocolos de tnel que establecen
un canal seguro entre dos equipos por el que
pueden enviar datos. Desde la perspectiva de
los dos equipos que intervienen, hay un
vnculo punto a punto dedicado entre ambos,
aunque en realidad los datos se redirigen por
Internet como se hara con cualquier otro
paquete. En una implementacin VPN tpica,
un cliente inicia una conexin punto a punto
virtual con un servidor de acceso remoto a
travs de Internet. El servidor de acceso
remoto responde a la llamada, autentica al
usuario que realiza la llamada y transfiere
datos entre el cliente VPN y la red privada de
la organizacin.

Para emular un vnculo punto a punto, los


datos se encapsulan, o se ajustan, con un
encabezado. El encabezado proporciona la
informacin de enrutamiento que permite a
los datos recorrer la red compartida o pblica
hasta alcanzar su extremo. Para emular un vnculo privado, los datos enviados se cifran por
motivos de confidencialidad.

Tipos
Existen 3 tipos de conexiones VPN:

VPN de acceso remoto

Una conexin VPN de acceso remoto permite al usuario que trabaja desde casa o que est de
viaje tener acceso a un servidor de una red privada mediante la infraestructura proporcionada
por una red pblica como, por ejemplo, Internet. Desde el punto de vista del usuario, la VPN es
una conexin punto a punto entre el equipo cliente y el servidor de la organizacin. La
infraestructura de la red compartida o pblica es irrelevante, ya que aparece lgicamente
como si los datos se enviaran a travs de un vnculo privado dedicado.

VPN de sitio a sitio

Una conexin VPN de sitio a sitio (a veces llamada conexin VPN de enrutador a enrutador)
permite a una organizacin tener conexiones enrutadas entre distintas oficinas o con otras
organizaciones a travs de una red pblica a la vez que se mantiene la seguridad de las
comunicaciones. Cuando las redes se conectan a travs de Internet, tal como se muestra en la
siguiente imagen, un enrutador habilitado para VPN reenva paquetes a otro enrutador
habilitado para VPN a travs de una conexin VPN. Para los enrutadores, la conexin VPN
aparece lgicamente como un vnculo dedicado en el nivel de vnculo de datos.

Una conexin VPN de sitio a sitio conecta dos redes privadas. El servidor VPN proporciona una
conexin enrutada a la red a la que est conectada el servidor VPN. El enrutador que realiza la
llamada se autentica a s mismo en el enrutador que responde y, para realizar una
autenticacin mutua, el enrutador que responde se autentica a s mismo en el enrutador que
realiza la llamada. En una conexin VPN de sitio a sitio, los paquetes enviados desde cualquiera
de los enrutadores a travs de la conexin VPN por lo general no se originan en los
enrutadores.

Conexin mediante VPN de dos sitios remotos a travs de Internet

VPN interna

Este esquema es el menos difundido pero uno de los ms poderosos para utilizar dentro de la
empresa. Es una variante del tipo "acceso remoto" pero, en vez de utilizar Internet como
medio de conexin, emplea la misma red de rea local (LAN) de la empresa. Sirve para aislar
zonas y servicios de la red interna. Esta capacidad lo hace muy conveniente para mejorar
las prestaciones de seguridad de las redes inalmbricas (WiFi).