Profesor: Luis M. Cardona Hernández Seguridad en las Redes Definición SSL (Secure Sockets Layer) – es un protocolo de seguridad que protege las mas importantes transacciones de Internet. Provee: Encriptación Autenticación Integridad de la Data
Se lleva a Cabo usando certificados de
llave pública Historia del SSL El SSL fue desarrollado por Netscape Communication Co. En 1994 para asegurar las transacciones sobre el WWW (Word Wide Web). Luego la IETF (Internet Egineering Task Force) comenzó su desarrollo como protocolo estándar para el mismo fin. Este es el protocolo estándar y maduro compatible con muchos la mayoría de los servidores y clientes para las transacciones por Internet. SSL y Windows El SSL también proteger a nivel local (Intranet) implementado con el Servicio de Certificados del Servidor local. El SSL puede protege: ElActive Directory local (LDAP port 636) Bases de Datos Mensajes Email (Web Mail POP3 port 995, Local SMTP Port 465) Páginas de Web corporativas internas (HTTPS Port 443) Forma o proceso del SSL 1. El Cliente pide llave pública al Server (Request) 2. El Server envía su llave pública al Cliente (Send Key) 3. El Cliente envía al Server una “Session Key” encriptada con la llave pública 4. El Server descripta la “Session Key” recibida del cliente usando su llave privada Ahora el Cliente y es Servidor pueden usar la “Session Key” para compartir la Data encriptada y descriptada entre ellos. Forma o proceso del SSL Cont… El SSL usa dos llaves para la encripción: LlavePública – Usada para la autenticación “Shared Key” - para la protección de la Data Esta forma de uso permite realizar el proceso en forma mas corta con solamente una llave pública IPSEC Vs SSL El IPSEC provee los mismos servicios del SSL, pero su aplicación es diferente IPSEC SSL 1. Requiere autenticación de 1. Requiere que el clientes o el ambos, clientes y servidores servidor o ambos lleven a cabo autenticación 2. Autenticación usando su propio 2. Requiere certificado de llave certificado de llave pública o el pública basada en autenticación “Shared Secret” 3. Capacidad Tunneling 3. Puede encriptar el tráfico sólo communication entre redes entre dos (2) Host 4. Tecnología nueva 4. Tecnología madura 5. Usado para comunicación de 5. Usado en Transacciones de Intranet Internet 6. Transparente para las 6. Aplicado directamente en la aplicaciones aplicación Windows 2003 y SSL Certificated El servicio de Certificados de Windows 2003 puede emitir SSL Certificates sin ningún costos adicional para la empresa. Se utiliza para control y seguridad del Intranet. (Solamente Internamente) Con PKI (Public Key Infraestructure) los SSL Certificates solo pueden ser emitidos por el “root certificate authority” (root CA) y con GPO se le envían a los Clients del Intranet. Windows 2003 y SSL Certificated Es Importante que el Cliente acepte el Certificado emitido (Warning Windows) sino se desconectará la sesión al igual que los certificados privados del Internet Los SSL Certificate tienen un límite de tiempo (El tiempo esta entre 1 a 5 años)
Para las transacciones realizadas por
Internet tiene que ser un CA privado tales como: GeoTrust®, VeriSign®, GoDaddy® otros. SSL y Firewall Cuando se utiliza SSL para proteger la comunicación hay que configurar el Firewall para que pueda pasar la comunicación encriptada por el mismo (para que no analice la Data). Dos formas de lograr dicho propósito: Configuración del Firewall como Proxi Server – con esta configuración el cliente establece SSL Session con el Firewall (Proxi) no con el server de destino, entonces es el proxi quien lo redirige al Server. Cofiguración Firewall permita el tráfico usando los puertos designados (Tabla puertos) Tabla de puertos Firewall Protocolo Siglas Puerto Std. Puerto SSL Hypertext Transfer HTTP 80 443 Protocol Simple Mail Transfer SMTP 25 465 Protocol Post Office POP3 110 995 Protocol v3 Internet Message Access IMAP 143 993 Protocol Network News Transfer NNTP 119 563 Protocol Light Weight Directory LDAP 389 636 Access Protocol Global Catalog - 3268 3269 Queries Configuración del SSL para IIS El uso mas común del SSL es: La autenticación a Web Servers La encripción de la comunicación etre el Web Browser y el Web Server. Cuando se usa para proteger una comunicación HTTP entre el Browser y el Server se refiere entonces a HTTPS (Hypertext Transfer Protocol Secure) El IIS v6.0 de Windows 2003 y el IIS 7.0 Windows 2008 son compatibles con ambos (Server & Clientes) SSL Certificates Uso de SSL en las páginas Web El SSL permite al usuario verificar la indentidad del Web Site y encriptar el tráfico entre el cliente y el Web Site. Ej. Cuando nos suscribimos a alguna página Web. El Certificado SSL identifica el Web Site no el Web Server Un Web Server puede guardar (host) multiples Web Sites. Un Web Site puede estar en multiples Web Server (host) (Redundancia) Web Server con 20 Web Sites = 20 certificados SSL Un Web Site en 10 Web Server = 1 certificado SSL Certificado de SSL El Certificado de SSL usa el FQDN (Fully Qualified Domain Name) para identificar el Web Site. Ej. www.microsoft.com Cuando un cliente accede un certificado SSL del Web Site el cliente verifica que el FQDN del Web Site está en el “Subject Name” sea o esté también listado en el Certificado SSL. Asignar Certificado SSL A través del CA se puede asignar el Certificado SSL a un solo Web Site. Se puede para proteger la confidencialidad del los datos URL by URL (Uniform Resource Locator) pero requiere que parte del Web Site contenga la encripción del SSL para la transmisión de dicha parte pudiendo tener partes no seguras con SSL. Forma añadir Web Site IIS Pasos para aplicar SSL a un Web Site local con Servicio de Certificados de Windows Crear el Web Site (página Web). Debe estar contenido en un Folder y su página principal como Index.html Publicarla con el IIS del Servidor de la Red Aplicarle el Certificado SSL al Web Site en el IIS (Debe estar seguro que el Servicio de certificados esta Instalado) Deber añadir el Record (cname) al DNS Manager para su entrada y borrar cache del DNS Abrir la página el en Browser y aceptar Certificado en en Warning de Windows Configuración DNS Web Site Local DNS Manager Foward Lookup Zones DOMAIN