Universidad Interamericana de Puerto Rico

Recinto de Bayamón
Departamento de Informática

SSL – Secure Socket Layer

Profesor: Luis M. Cardona Hernández
Seguridad en las Redes
Definición
SSL (Secure Sockets Layer) – es un
protocolo de seguridad que protege las
mas importantes transacciones de
Internet.
 Provee:
 Encriptación
 Autenticación
 Integridad de la Data

Se lleva a Cabo usando certificados de

llave pública
Historia del SSL
El SSL fue desarrollado por Netscape
Communication Co. En 1994 para
asegurar las transacciones sobre el
WWW (Word Wide Web). Luego la IETF
(Internet Egineering Task Force)
comenzó su desarrollo como protocolo
estándar para el mismo fin.
Este es el protocolo estándar y maduro
compatible con muchos la mayoría de
los servidores y clientes para las
transacciones por Internet.
SSL y Windows
El SSL también proteger a nivel local
(Intranet) implementado con el Servicio
de Certificados del Servidor local. El SSL
puede protege:
 ElActive Directory local (LDAP port 636)
 Bases de Datos
 Mensajes Email (Web Mail POP3 port
995, Local SMTP Port 465)
 Páginas de Web corporativas internas
(HTTPS Port 443)
Forma o proceso del SSL
1. El Cliente pide llave pública al Server
(Request)
2. El Server envía su llave pública al Cliente
(Send Key)
3. El Cliente envía al Server una “Session Key”
encriptada con la llave pública
4. El Server descripta la “Session Key” recibida
del cliente usando su llave privada
Ahora el Cliente y es Servidor pueden usar la
“Session Key” para compartir la Data
encriptada y descriptada entre ellos.
Forma o proceso del SSL Cont…
 El SSL usa dos llaves para la encripción:
 LlavePública – Usada para la
autenticación
 “Shared Key” - para la protección de la
Data
Esta forma de uso permite realizar el
proceso en forma mas corta con
solamente una llave pública
 IPSEC Vs SSL
El IPSEC provee los mismos servicios del
SSL, pero su aplicación es diferente
IPSEC SSL
1. Requiere autenticación de 1. Requiere que el clientes o el
ambos, clientes y servidores servidor o ambos lleven a cabo
autenticación
2. Autenticación usando su propio 2. Requiere certificado de llave
certificado de llave pública o el pública basada en autenticación
“Shared Secret”
3. Capacidad Tunneling 3. Puede encriptar el tráfico sólo
communication entre redes entre dos (2) Host
4. Tecnología nueva 4. Tecnología madura
5. Usado para comunicación de 5. Usado en Transacciones de
Intranet Internet
6. Transparente para las 6. Aplicado directamente en la
aplicaciones aplicación
Windows 2003 y SSL Certificated
 El servicio de Certificados de Windows
2003 puede emitir SSL Certificates sin
ningún costos adicional para la empresa.
Se utiliza para control y seguridad del
Intranet. (Solamente Internamente)
 Con PKI (Public Key Infraestructure) los
SSL Certificates solo pueden ser emitidos
por el “root certificate authority” (root CA)
y con GPO se le envían a los Clients del
Intranet.
Windows 2003 y SSL Certificated
 Es Importante que el Cliente acepte el
Certificado emitido (Warning Windows)
sino se desconectará la sesión al igual que
los certificados privados del Internet
 Los SSL Certificate tienen un límite de
tiempo (El tiempo esta entre 1 a 5 años)

 Para las transacciones realizadas por

Internet tiene que ser un CA privado tales
como: GeoTrust®, VeriSign®, GoDaddy®
otros.
SSL y Firewall
 Cuando se utiliza SSL para proteger la
comunicación hay que configurar el
Firewall para que pueda pasar la
comunicación encriptada por el mismo
(para que no analice la Data). Dos formas
de lograr dicho propósito:
 Configuración del Firewall como Proxi Server –
con esta configuración el cliente establece SSL
Session con el Firewall (Proxi) no con el server
de destino, entonces es el proxi quien lo
redirige al Server.
 Cofiguración Firewall permita el tráfico usando
los puertos designados (Tabla puertos)
Tabla de puertos Firewall
Protocolo Siglas Puerto Std. Puerto SSL
Hypertext Transfer HTTP 80 443
Protocol
Simple Mail Transfer SMTP 25 465
Protocol
Post Office POP3 110 995
Protocol v3
Internet Message Access IMAP 143 993
Protocol
Network News Transfer NNTP 119 563
Protocol
Light Weight Directory LDAP 389 636
Access Protocol
Global Catalog - 3268 3269
Queries
Configuración del SSL para IIS
 El uso mas común del SSL es:
 La autenticación a Web Servers
 La encripción de la comunicación etre el
Web Browser y el Web Server.
 Cuando se usa para proteger una
comunicación HTTP entre el Browser y
el Server se refiere entonces a HTTPS
(Hypertext Transfer Protocol Secure)
El IIS v6.0 de Windows 2003 y el IIS 7.0 Windows 2008 son
compatibles con ambos (Server & Clientes) SSL Certificates
Uso de SSL en las páginas Web
 El SSL permite al usuario verificar la
indentidad del Web Site y encriptar el
tráfico entre el cliente y el Web Site. Ej.
Cuando nos suscribimos a alguna página
Web.
El Certificado SSL identifica el Web Site no el Web Server
 Un Web Server puede guardar (host)
multiples Web Sites.
 Un Web Site puede estar en multiples Web
Server (host) (Redundancia)
Web Server con 20 Web Sites = 20 certificados SSL
Un Web Site en 10 Web Server = 1 certificado SSL
Certificado de SSL
 El Certificado de SSL usa el FQDN (Fully
Qualified Domain Name) para identificar
el Web Site. Ej. www.microsoft.com
 Cuando un cliente accede un certificado
SSL del Web Site el cliente verifica que
el FQDN del Web Site está en el
“Subject Name” sea o esté también
listado en el Certificado SSL.
Asignar Certificado SSL
 A través del CA se puede asignar el
Certificado SSL a un solo Web Site.
 Se puede para proteger la
confidencialidad del los datos URL by
URL (Uniform Resource Locator) pero
requiere que parte del Web Site
contenga la encripción del SSL para la
transmisión de dicha parte pudiendo
tener partes no seguras con SSL.
Forma añadir Web Site IIS
Pasos para aplicar SSL a un Web Site local
con Servicio de Certificados de Windows
 Crear el Web Site (página Web). Debe estar
contenido en un Folder y su página principal
como Index.html
 Publicarla con el IIS del Servidor de la Red
 Aplicarle el Certificado SSL al Web Site en el
IIS (Debe estar seguro que el Servicio de
certificados esta Instalado)
 Deber añadir el Record (cname) al DNS
Manager para su entrada y borrar cache del
DNS
 Abrir la página el en Browser y aceptar
Certificado en en Warning de Windows
Configuración DNS Web Site Local
 DNS Manager
 Foward Lookup Zones
 DOMAIN

New Alias (CNAME)

 Luego hay que limpiar el Cache del DNS

 C:\>ipconfig /flushdns
 FIN

(D) Derechos Reservados por el Autor