Está en la página 1de 59

Trfico en la Red

Anlisis de la Red

Anlisis de la red son tcnicas que se usan para estudiar las


propiedades de la red, conectividad, capacidad y desempeo.

Puede ser usado para estimar la capacidad de una red, verificar


caractersticas de su desempeo, o planear para futuras
aplicaciones y actualizaciones.

El anlisis de trfico proporciona informacin acerca de aplicaciones


y protocolos usados en la red y podra revelar algn fallo o defecto
en la red.

Del anlisis se genera un modelo o perfil de trfico.

Este modelo es til para determinar los flujos y tipos de trfico


(protocolos de las aplicaciones que son soportadas en la red).
Caracterizacin o Modelado de Trfico

Analizar el trfico es modelarlo o caracterizarlo.

Esta tcnica ayuda a identificar:


El origen del trfico.
Donde se aloja o concentran los datos (trfico).
Uso de la red por protocolo.
Distribucin por protocolo/Aplicacin.
Tamao de paquete.
Volumen de trfico,
etc.

Hay dos tipos de caracterizacin de trfico:


A. Caracterizacin de flujo de trfico.
B. Caracterizacin de tipo de trfico.

A. Caracterizacin de flujo de trfico


Identifica origen y destino del trfico de la red y analiza su direccin y
simetra de la trayectoria de los datos.

En algunas aplicaciones, el flujo es bidireccional y simtrico.


Ambos extremos del flujo de trfico el bit rate es el mismo.

En otras aplicaciones, el flujo es bidireccional y asimtrico.


Las estaciones clientes envan pequeas peticiones (queries),y los servidores
envan grandes flujos de datos.

B. Caracterizacin de tipo de trfico


Identifica el flujo de trfico por:
Protocolo/Aplicaciones.
Utilizacin
Tamao de paquetes
Distribucin
Latencia
Se usan herramientas de HW y SW para analizar el trfico.
CISCO NBAR (Network Based Application Recognition)
HP Openview
MRTG
CACTI
Sniffer, Wireshark
SolarWinds
Probes (HW)

Aplicaciones
Peer-peer

Cliente-Servidor local

Cliente-Servidor en granja (server Farm )

Cliente-Servidor remoto
80/20
Tradicionalmente los usuarios con aplicaciones similares
necesitaban estar en grupos que pertenecan a la misma red o
VLAN.

Estas aplicaciones tenan trfico predecible.


o Correo electrnico.
o Sericios de impresin.
o Transferencia de archivos.
o BD.

El 80% del trfico generado por estas aplicaciones se quedaba


localmente en la red LAN.

El 20% del trfico se esperaba que saliera de la red local y fuera


dirigido a otras LANs o a la red WAN.
20/80

Con las nuevas aplicaciones y la convergencia de las redes, se ha


creado un nuevo modelo de trfico que se conoce como regla del
20/80.

Ahora solo el 20% de trfico es local.

El 80% del trfico sale de la red local, es dirigido al backbone o capa


core.

Esta ha hecho que el backbone se vea como un punto concentrador


de gran parte del trfico.

Ahora la capa 3 toma mayor importancia ya que el trfico es


enrutado hacia diferentes VLAN (subredes IP).

Fallas en la red tienen mayor impacto en el servicio.


Requiere mayor escalabilidad de la red.

El diseo de este tipo de modelos de red, se centra en flujos de


trfico ms que en un particular tipo de trfico.
Ejemplo de Anlisis de Trfico.

Tipo de Trfico y principales indicadores.


Congestin

La congestin ocurre cuando el nmero de paquetes que estn


siendo transmitidos a travs de la red se acerca a la capacidad
soportada por la red.

El control de congestin pretende mantener el nmero de paquetes


por debajo del nivel soportado por la red.

Generalmente al 80% de utilizacin ya es un nivel crtico.


Efectos de la Congestin

Los paquetes llegan son almacenados en buffers de entrada.

Toma decisiones de enrutamiento.

El paquete es movido a un buffer de salida.

Los paquetes encolados son liberados para su transmisin tan


rpido como sea posible.

Si los paquetes llegan muy rpido como para ser enrutados o para
ser liberados, los buffers (cola) se llenar.

Los paquetes pueden ser descartados.

La congestin es propagada a toda la red.


Optimizacin de Ancho de Banda en una Red

Es caro el ancho de banda en una red WAN.

Frecuentemente es limitado y generalmente representa un cuello de


botella.

Existen tcnicas para optimizar el uso del ancho de banda.

Al optimizar el ancho de banda mejoramos el desempeo de la red.

Tcnicas de optimizacin:
Compresin de datos.
Manejo o control de la congestin (Queuing y Scheduling).
Tamao de ventana Window size.
Traffic Shaping and Policing.
Tcnicas de Optimizacin de Ancho de Banda

Compresin de Datos.
Reduccin del tamao de los datos para ahorrar tiempo de transmisin.
Frame Relay Payload Compresin.
PPP predictor
TCP/IP header compression.
RealTime Transport Protocol (RTP) cRTP.

Queuing and Scheduling


Tcnicas de QoS para evitar temporalmente la congestin y adems proporciona
trato preferencial a aplicaciones crticas.
Optimiza el uso de los recursos existentes mediante polticas de QoS.
Si existen congestin constantemente, esta tcnica no es recomendable y lo
mejor ser usar compresin de datos o incrementar el ancho de banda.

Tamao de Ventana
Es el mximo nmero de tramas que se puede transmitir antes de que se reciba
un acuse de recibo (Acknowledgment).
Esto es para un protocolo de transporte como TCP.
Traffic Shaping and Policing
Policing descarta paquetes cuando sobrepasa el ancho de banda asignado
(comprometido).

Shaping ajusta o trata de ajustar la velocidad de transmisin de los paquetes sin


descartar ninguno.
Traffic Shaping

Impide que el bit rate de los paquetes que salen por una interfase sobrepasen
el bit rate configurado.

Retrasa los paquetes depositndolos temporalmente en un buffer o cola (del


shaper).

De la cola son liberados los paquetes de tal forma que no sobrepasen el bit
rate configurado de la interfaz.

Policing

Cuando un flujo de paquetes sobrepasan el bit rate configurado puede ocurrir


dos cosas:
Los paquetes son descartados.
Los paquetes son marcados para que en caso de que ocurra una congestin
ms adelante, estos paquetes sean descartados.
LATENCIA

Hay diferentes tipos de latencia en la transmisin (origen-destino):


Procesamiento (Processing delay).

o Tiempo que toma el procesamiento en un router o switch para ejecutar las


tareas necesarias para mover un paquete de la interfaz de entrada a la
interfaz de salida.

Encolamiento (Queuing delay).

o Es la cantidad de tiempo que un paquete permanece en la cola de salida de


una interfaz.

Serializacin (Serialization delay).


o Es el tiempo que toma en enviar el total de los bits de un frame trama al
medio fsico para su transmisin.

Propagacin (Propagation delay).


o Es el tiempo que toma a los bits de un frame cruzar el medio fsico (enlace
fsico).
Jitter o Variacin de la Latencia

La variacin en los retardos que experimentas los paquetes del mismo flujo
es conocida como jitter.

Latencia en Redes de Paquetes - Packet Switch

Latencia de paquetes significa el retardo de paquetes en un sentido (one way). Esto


se refiera al tiempo que toma un paquete para ser transmitido por la red desde su
origen al su destino.

Hay dos forma de medir la latencia:


Ida y vuelta (Round-trip)
En un sentido (one way)

La latencia es afectada por diferentes factores como:


Carga de la red.
Topologa y tamao de la red.
Tecnologa usada en equipos de red.
Tipo de trfico.
QoS
Prioridades/Encolamiento usado (Queuing).
La medicin de la latencia en redes de paquetes (IP) se hace en un sentido
por los siguientes factores:
La trayectoria de los paquetes en un sentido, el de ida, puede ser diferente al
sentido contrario o de regreso.
Por lo tanto la latencia roud-trip realmente mide dos distintas trayectorias.
Tambin esa trayectoria pueden tener diferente desempeo debido a los tipos de
encolamiento que se usen (de entrada y salida)
Cuando se aplica calida de servicio (QoS) esto tienen mayor relevancia debido a la
asimetra de encolamiento y en particular con VoIP.
SEGURIDAD DE LA RED

Antecedentes

El Gusano Morris
Reconocido como el primer gusano de Internet.
Creado por Robert Morris.
Liberado el 2 de noviembre 1988.
Las victimas fueron dos sistemas operativos: BSD en
DEC VAX y SunOS.
El objetivo era medir el tamao de la Internet.

ICMP flooding
El ataque llamado ICMP flooding (inundacin de ICMP), es una tcnica de ataque muy
popular.
ICMP flooding se basa en utilizar falsos broadcast de ping (ICMP echo), para obtener
un gran nmero de respuestas de la vctima (ICMP echo replay).
Ping Sweep y Port Scan
Barridos de ping y Escaneo de puertos:
Identifica los servicios en la red.
Identifica los hosts y dispositivos de la red.
Identifica los sistemas operativos en la red.
Identifica vulnerabilidades en la red.

Fundamentos de Seguridad
Objetivos Principales de Seguridad en la Red
Para la mayora de las redes corporativas de hoy, la demanda de la comercio
electrnico y el contacto con los clientes requieren conectividad entre las redes
corporativas y el mundo exterior.

Desde el punto de vista de seguridad, dos supuestos bsicos acerca de las actuales
redes corporativas son los siguientes:
A. Interconectividad.
Las redes corporativas de hoy en da son grandes, interconectadas con otras redes y con protocolos
estndar y propietarios.
B. Complejidad.
Dispositivos, aplicaciones y las mismas redes corporativas continuamente estn creciendo en
complejidad.
Los tres objetivos principales de seguridad en la red:
Confidencialidad
Integridad
Disponibilidad

Confidencialidad
Es mantener los datos privados.
Esto implica la restriccin de acceso fsico o lgico a los datos sensibles o la
encriptacin del trfico que viaja por la red.
Integridad
La integridad de datos asegura que los datos no se han
modificados en el trayecto origen-destino.
La solucin de integridad de datos puede realizar la autenticacin
del origen (que el origen sea realmente quien dice ser).

Ejemplos:
o Modifcar la apariencia de un sitio web.
o Interceptar y alterar una transaccin electrnica.
o Modificar registros financieros almacenados electrnicamente.

Disponibilidad
La disponibilidad de datos es una medida de la accesibilidad de la informacin.

Ejemplos de ataques:
o Envo de datos con formato incorrecto dando como resultado un error de
excepcin no controlada.
o Inundar la red con una cantidad excesiva de trfico de peticiones a un
sistema (servidores web, BD, etc). Este tipo de ataques es llamado
Negacin de Servicio ( Denial of Service -DoS).
Threat - Amenaza

Cualquier circunstancia o evento con el potencial de causar dao a un sistema o a la


red.
Negacin de Servicio DoS
o Ataques a recursos informticos (ancho de banda,CPU,memoria) provocando
indisponibilidad del servicio hacia los usuarios.
Acceso no Autorizado
o El acceso sin autorizacin expedido por el propietario o responsable legtimo de del
dispositivo o sistema.
Suplantacin de Identidad
o El robo de identidad
Gusanos - Worms -
Virus
Vulnerabilidad
Una vulnerabilidad es una debilidad en procedimientos de seguridad, diseo
de redes o en la implementacin que puede ser aprovechado para violar las
polticas de seguridad de la organizacin:
Error en el software.
Errores de configuracin.
Fallas en diseo de la red

Riesgo
El riesgo es la probabilidad de que una vulnerabilidad especfica sea explotada.
Anlisis de Riesgos es el proceso de identificar:
Riesgos de seguridad
Determinacin de su impacto
Identificacin de zonas que requieran proteccin.
Exploit
Es un programa de cmputo desarrollado para aprovechar (explotar) una
vulnerabilidad.

Metodologas de Ataques a la Red

Es muy importante entender los tipos de ataques que una red puede
experimentar, de esta forma, es posible implementar sistemas de seguridad.

Principales Vulnerabilidades

Errores de diseo
Deficiencias en protocolos
Vulnerabilidades de software
Errores de configuracin
Cdigos hostiles

Factores humanos
Intrusos/Adversarios Potenciales

Terroristas
Pases o estados
Criminales
Hackers/Crackers
Competidores
Empleados descontentos o desleales
Agencias del gobierno.

Tipos de Ataques a la Red

Tipos de ataques a la red por objetivos:


1) Confidencialidad
2) Integridad
3) Disponibilidad
Ataques a la Confidencialidad

Los atacantes pueden utilizar mtodos de poner en peligro la confidencialidad. Los


siguientes son algunos ejemplos de los mtodos comunes:
Packet Sniffing - Deteccin de paquetes -
o Espionaje y registrar el trfico que pasa a travs de una reddigital o parte de una red.
Port Scanning - Escaneo de puertos -
o Bsqueda de puertos abiertos en un equipo.
Ping Sweep - Barrido de ping -
o Bsqueda de dispositivos en la red a travs de su direccin IP.

Ingeniera Social
o Es el uso de habilidades sociales para manipular a la gente para obtener informacin.
Covert Channel

o Capacidad de ocultar informacin dentro de otro objeto.


o La esteganografa es un ejemplo: Mensajes ocultos en imgenes digitales y audio.
Phishing, Pharming - Robo de Identidad -
o Phishing es un intento de obtener informacin sensible, tales como nombres de usuario, contraseas y
detalles de tarjetas de crdito, hacindose pasar por una entidad confiable.
o Pharming es un ataque para redirigir el trfico de un sitio web a hacia otro sitio web.
Ataques a la Integridad
Salami Attack
o Son pequeos ataques que resultan en un ataque ms grande cuando son
combinados.
Datos Diddling Falsificar Datos -
o Este tipo de ataque, cambia los datos antes de que sean almacenados en un sistema de
cmputo. Un cdigo malicioso o un virus podra realizar diddling.
Session Hijacking - Secuestro de sesin -
o Es el robo o secuestro de una sesin vlida de una computadora para obtener acceso no
autorizado a informacin o servicios en un sistema de cmputo.

Password attack

o Trojan horse - Troyano -


Un programa que aparenta ser una aplicacin til.Puede capturar la contrasea de un
usuario y luego la pone a disposicin del atacante.
o Captura de Paquetes
Herramienta de captura de paquetes de la red (sniffer). Este ataque est dirigido a
capturar los paquetes de datos desde una tarjeta de red.
o Keylogger:
Es un programa que se ejecuta en segundo plano capturando las teclas pulsadas.
Un atacante puede obtener el registro de las teclas pulsadas para obtener la
contrasea del usuario

La Fuerza Bruta

Un ataque de fuerza bruta trata de todas las combinaciones posibles de passwords hasta que uno
coincida.
Ataque por Diccionario

Un ataque de diccionario es similar a un ataque de fuerza bruta, solo que esta tcnica se basa en
un diccionario de palabras de uso comn.

Ataques a la Disponibilidad

Ejemplos de tipos de ataques para comprometer la disponibilidad:


DoS - Denied of Service -

El ataque DoS es el envo de una gran cantidad de peticiones de datos que consumen
recursos del sistema de destino.

DDoS (Distributed DoS) DoS Distribuido -

DDoS puede aumentar la cantidad de trfico dirigido a un objetivo. El atacante compromete


mltiples equipos llamados zombies, para poner en marcha al mismo tiempo un ataque
DDoS contra un sistema objetivo.

TCP SYN flood Inundacin de TCP SYN -


El atacante enva muchas solicitudes de SYN de TCP al objetivo (threeway handshake).
Esto es un ataque de DoS.

ICMP flood - Inundacin de ICMP

El atacante se enva una gran cantidad de paquetes de ICMP y de gran tamao (ping de la
muerte). Esta es una forma de negacin de servicio (ICMP DoS attack).
Ataque:

TCP SYN flood Inundacin de TCP SYN


Ataque:
ICMP flood - Smurf Attack

Polticas de Seguridad
Algo imprescindible para una organizacin.
Pilar fundamental para la seguridad de la organizacin.
No sirve de mucho tener sistemas y dispositivos de seguridad sino se tienen las polticas.

Proporciona directrices para la organizacin en:


"Cmo" de la seguridad.
"Qu" de la seguridad.
Quin" de la seguridad.

La aplicacin de las polticas de seguridad es tan importante como su diseo.

Participacin de niveles directivos en el diseo y su aplicacin es clave para su xito

Ejemplos de polticas de seguridad:


Polticas de contraseas (passwords).
Polticas de inicio de sesin (logon, conexin a sesin).
Polticas de acceso a Internet.
Polticas de uso de la red y aplicaciones.
Dispositivos en red.
Software institucional.
Polticas de uso de antivirus.
Polticas de seguridad fsica.
Polticas de acceso remoto.
Entre muchas otras
Criptografa
Criptografa: Del griego Krypto (ocultar) y grafo (escribir)
Criptologa: Del griego Krypto (ocultar) y legein (estudio)

Confidencialidad, privacidad -encriptar, cifrar, codificar-


Autenticacin del Origen.
Integridad de los datos.
Criptologa se puede dividir en dos reas:

La Criptografa es el desarrollo y la utilizacin de cdigos cifrados y sus llaves. Est basado en


algoritmos matemticos.

El Criptoanlisis es lo relacionado al descifrado sin uso de la llave (romper la llave).

El cifrado es simplemente un algoritmo matemtico y una clave o llave aplicada a los datos para que el
contenido sea ilegible.

Idealmente, los datos cifrados slo pueden descifrarse con la clave adecuada (llave original).

La fortaleza de los datos cifrados se basa en:


Complejidad del algoritmo de cifrado.
Tamao de la llave.
Actualmente su aplicacin se ha extendido a diversas actividades basadas en el uso de la tecnologa
de la informacin constituyndose en elemento indispensable para garantizar la seguridad en el manejo
de la informacin.

Ha permitido proteger cada caracter con una llave que puede conformarse hasta por 256 bits.

Es decir, para encontrar esta llave de 256 bits, tendramos que buscarla en sus combinaciones posibles:

Combinaciones:
1150000000000000000000000000000000000000000000000000000000000000000000000000000.

Aos:
1830000000000000000000000000000000000000000000000000000000000.

Cifrado Simtrico y Asimtrico

Hay dos clases de algoritmos de cifrado, que difieren por el uso de sus llaves:

Algoritmos de Encripcin Simtricos: Usan la misma llave para cifrar y descifrar datos.

Algoritmos de Encripcin Asimtricos : Emplean diferente llave, una para cifrar y otra llave
descifrar datos.
Algoritmos de Cifrado que Usan Llaves Simtricas:

DES: Llave de 56 bits.


Triple Data Encryption Standard (3DES): Llaves de 112 y 168 bits
AES: Llaves de 128, 192 y 256 bits.
International Data Encryption Algorithm (IDEA): Llave de 28 bits.
RC series: RC2, RC4, RC5 y RC6.
RC2: Llaves de 40 y 64 bits.
RC4: Llave de 1 a 256 bits.
RC5: Llave de 0 a 2040 bits.
RC6: Llaves de 128, 192, y 256 bits.
Blowfish: Llave de 32 a 448 bits.

Criptografa Simtrica

Emplea la misma llave para cifrar y descifrar la informacin

Esta tcnica tambin es conocida como llave secreta o llave privada.

La criptografa simtrica se emplea especialmente para almacenamiento seguro de datos.

Para el envo de datos es preferible la criptografa asimtrica.


El usar criptografa simtrica implica enviar la llave al destinatario para descifrar la informacin va un
canal seguro (ver Diffie-Hellman).

RSA - Rivest, Shamir y Adleman -

Es un algoritmo de cifrado asimtrico.


Fue el primer algoritmo que se podra utilizar para firmas digitales y cifrado.
Longitudes de las llaves RSA son de 1024 bits y hasta 2048 bits.
Se cree que es imposible el descifrado completo de una llave RSA debido a la dificultad de factorizar
nmeros enteros primos grandes (esta es la premisa bsica del criptosistema RSA), aunque esto an no
ha sido probado matemticamente.
Aplicaciones:
Intercambio de llaves privadas
Firma digital

Llaves:
Algoritmos asimtricos de intercambio de llaves se pueden utilizar para compartir de forma segura las
llaves secretas a travs de una red insegura.

Diffie-Hellman - DH

Solucin al Problema de la Distribucin de la Llave

En 1976, Whitfield Diffie y Martin Hellman propusieron un esquema que daba solucin al problema de la
distribucin de la llave en encripcin simtrica.

Diffie-Hellman es un algoritmo criptogrfico que permite el intercambio de llaves secretas compartidas a


travs de un canal no seguro (por ejemplo, internet).

El protocolo IKE en IPsec VPN utiliza ampliamente este algoritmo de DH.


Hash

Es una funcin matemtica que genera un resultado de longitud fija, independientemente de la cantidad
de datos de entrada.

No es posible generar los datos originales de entrada a partir del resultado de longitud fija.

Se supone que no hay dos grupos de datos de entrada que generen el mismo resultado de longitud fija.
Si esto sucede, se llama colisin.
Funciones Hash Comunes
MD5 - Message Digest 5 -
Genera como checksum (resultado) una salida de 128 bits.
My rpido.
Se han encontrado colisiones.

SHA-1 - Secure Hash Algorithm -

Genera como checksum (resultado) una salida de 160 bits.


No tan rpido.
En 2005 se encontraron colisiones (con solo 269 operaciones).

El resultado de longitud fija generado por la funcin hash se conoce como checksum, message digest,
resumen del mensaje, etc.

Hash, Encripcin de Una Va

Unix tiene una funcin basada en DES llamada crypt().

En Linux existe un comando basado en MD5, md5sum o md5, para SHA el comando es shasum.

Hasta agosto de 2004, no se haban descubierto dos documentos que tuvieran el mismo checksum
MD5
Por ahora, estas colisiones no son un problema importante.
En 2005 se encontraron colisiones en SHA-1.

Ejemplo: comando: md5sum archivo.dat la salida es el checksum


MD5
Certificado Digitales

Los certificados digitales:


Vinculan o relacionan una llave pblica a una entidad (persona u organismo).
Son una importante cuestin jurdica relacionada con comercio electrnico.

Un certificado digital contiene:


La llave pblica del usuario (entidad)
Identificacin del usuario (nombre, domicilio, etc)
Vigencia del certificado.
Correo electrnico, etc.

Ejemplos de certificados:
X509 (estndar)
PGP (Pretty Good Privacy)

La autoridad certificadora (Certificate Authority - CA)

Crea y firma digitalmente los certificados digitales


No Repudio

Provisto a travs de firmas digitales:


La firma utiliza algo que solo conoce el firmante: Entonces, solo el firmante pudo haber
firmado/creado la firma.

Por lo que el firmante no lo puede negar.


Si el firmante niega envo del mensaje:

Su clave privada puede ser verificada con el documento original para demostrar el envo y firma por
parte del firmante/remitente en cuestin.
Clave Privada / simtrica
Pros
Llave Pblica Asimtrica Simple y realmente muy rpido
Pros (orden de 1000 a 10000 veces
Llave pblica totalmente ms rpido que los
disponible. mecanismos asimtricos).
Este mtodo soluciona el Muy rpida si se realiza en
problema de compartir la hardware.
llave privada. No existe entidad certificadora
Autenticacin por terceros (CA).
(CA). Contras
Contras La llave privada se debe
Muy lento. compartir de antemano.
Velocidad en las Pasar de forma segura la llave
transacciones a la contraparte (otro usuario)
Ataque a la CA
Falsas Ideas
Ms seguro.
Ha hecho del cifrado
simtrico obsoleto.

.
En los ltimos aos se han dado pasos hacia una nueva generacin de computadoras: las
computadoras cunticas.

Este mismo mensaje se descifrara en cuestin de segundos con una computadora cuntica.
De manera paralela, se ha estado desarrollando la criptografa cuntica, que est en una etapa ms
avanzada que las computadoras cunticas.

RSA de 1024 bits ha sido vulnerada

Se acaba de sentar un nuevo hito en la historia de la Seguridad Informtica, ms especficamente en el


rea correspondiente a los algoritmos de cifrado. La encriptacin RSA de 1024 bits ha sido vulnerada.

El algoritmo RSA es el primer y ms utilizado algoritmo de este tipo, vlido tanto para cifrar como para
firmar digitalmente.

El algoritmo RSA, cuyo nombre viene de las iniciales de los apellidos de sus creadores Rivest, Shamir y
Adleman, es un sistema criptogrfico de clave pblica creado en 1977.

RSA sufri su primer crackeo el 7 enero de 2010. Lograron vulnerar su versin del algoritmo de 768
bits. Sin embargo este nuevo crackeo responde a su versin extendida de 1024 bits, gracias al trabajo
de Valeria Bertacco, Todd Austin y Andrea Pellegrini.

La operacin tom nada ms y nada menos


que 100 horas.

DES Crack
John Gilmore & EFF

En Enero de 1999, demostraron que DES puede ser roto en pocas horas.
Usando hardware especial.
Costo US$250,000.00.

PKI - Public Key Infrastructure


Infraestructura de Llave Pblica

Es la forma de referirse a un sistema de gestin de certificados digitales y aplicaciones de la firma


digital.

PKI se basa en la criptografa de llave pblica, cuyos orgenes se remontan a un artculo de Diffie y
Hellman de 1976.

Una PKI bien constituida debe proporcionar:


Autenticidad
Confidencialidad
Integridad
No repudio

PKI

Los sistemas anteriormente descritos deben englobarse en un nico sistema, al que se denomina
Infraestructura de Llave Pblica o PKI :
Soporte a

La Autoridad de Certificacin.
Pieza central y la que proporciona la base de confianza en PKI.
Constituido por
Hardware
Software
y, evidentemente, humanos.

Publicacin de Certificados.
El repositorio de certificados permite a los usuarios operar entre ellos (p.e. para la validacin de una
Firma Digital).
Es requisito legal que cuente con disponibilidad de acceso.

Aplicaciones "PKI-Enabled"
Se denomina as a las aplicaciones software capaces de operar con certificados digitales.
Estas aplicaciones son las que dan el valor real de la PKI de cara al usuario.

Polticas de Certificacin
Deben disearse polticas, o procedimientos operativos, que rigen el funcionamiento de la PKI.
Establecer los compromisos entre la Autoridad Certificadora y los usuarios finales.
Estos documentos tendrn un carcter tanto tcnico como legal.

IPsec

Conectividad Segura

Privacidad de datos, encripcin y VPN.


Ofrece seguridad en redes pblicas no confiables como Internet.
Mejora la seguridad de transporte en redes privadas.

Extiende el alcance de la red.


Teletrabajadores.
Nuevos sitios o sitios pequeos.
Conectividad a partners.

Conectividad de Banda ancha rentable.


Reduce costos de transporte.
Conectividad de teletrabajadores en banda-ancha y sitios remotos.

IPsec es una extensin al protocolo IP que proporciona una


infraestructura de seguridad a IP y protocolos de capas superiores.
IPsec protege datos IP que viajan en la red de un punto a otro.

IPsec combina tres protocolos para ofrecer Confidencialidad,


Integridad y Autenticacin:
IKE
AH
ESP

Con IKE, AH y ESP se obtiene:

Confidencialidad
Confidencialidad de los datos es implementada a travs de encripcin (cifrado).

Integridad
La integridad garantiza que los datos no sern modificados en el trnsito a su destino.

Autenticacin
La autenticacin permite, a las partes que intervienen en la conversacin (comunicacin), verificar que
su contraparte es quien dice ser.

Usuario y password
One-time password (OTP)
Biometra
Preshared keys
Certificados -Signed digital certificates

Integridad y Confidencialidad en IPsec

Integridad
Para proteger la integridad de los datagramas IP, IPsec emplea cdigos de autenticacin (HMAC -
Hash Message Authentication Code):
MD5
SHA
Confidencialidad
Para proteger la confidencialidad, los protocolos IPsec emplean algoritmos de cifrado:
DES
3DES
AES
Blowfish

Arquitectura de IPsec
Los tres principales protocolos que son usados por IPsec son:
IKE - Internet Key Exchange
ESP - Encapsulating Security Payload
AH - Authentication Header

IPsec emplea IKE para el intercambio de las llaves y negociacin de parmetros de seguridad.
ESP y AH son empleados para proteccin de los datos.
Internet Key Exchange - IKE

Ofrece un mecanismo para intercambiar llaves y negociar las asociaciones seguras (security
associations SA)
Encapsulating Security Payload - ESP

Proporciona confidencialidad, integridad de los datos y autenticacin.


Authentication Header - AH

Proporciona integridad de los datos y autenticacin del origen.


Las dos principales infraestructuras (framework) de protocolos IPsec:

AH:

Datos no encriptados

Proporciona:
Autenticacin
Integridad

ESP:

Datos no encriptados

Proporciona:
Encripcin
Autenticacin
Integridad
Modos IPsec

Puede proteger el datagrama IP completo o slo protocolos de capas superiores. Estos modos se
denominan, respectivamente:
Tnel
El modo tnel agrega un nuevo encabezado de IP antes del encabezado de ESP. El modo tnel
encapsula todo el paquete IP.
Los routers(o firewalls) son responsables de la asignacin de las direcciones IP utilizadas en estos
nuevos encabezados.
El modo de tnel puede ser empleado con ESP y/o AH.
Transporte
IPsec en modo transporte inserta un encabezado ESP entre el encabezado IP y el encabezado de la
capa de transporte.
El modo transporte se pueden implementar con ESP y AH.