Protocolos https y ssh

Hypertext Transfer Protocol Secure

Hyper Text Transfer Protocol Secure (en espaol: Protocolo seguro de transferencia de hipertexto), ms conocido por sus siglas HTTPS, es un protocolo de aplicacin basado en el protocolo HTTP, destinado a la transferencia segura de datos de Hiper Texto, es decir, es la versin segura de HTTP. Es utilizado principalmente por entidades bancarias, tiendas en lnea, y cualquier tipo de servicio que requiera el envo de datos personales o contraseas.

Caractersticas Tcnicas
El sistema HTTPS utiliza un cifrado basado en SSL/TLS para crear un canal cifrado (cuyo nivel de cifrado depende del servidor remoto y del navegador utilizado por el cliente) ms apropiado para el trfico de informacin sensible que el protocolo HTTP. De este modo se consigue que la informacin sensible (usuario y claves de paso normalmente) no pueda ser usada por un atacante que haya conseguido interceptar la transferencia de datos de la conexin, ya que lo nico que obtendr ser un flujo de datos cifrados que le resultar imposible de descifrar. El puerto estndar para este protocolo es el 443.

Diferencias con HTTP

En el protocolo HTTP las URLs comienzan con "http://" y utilizan por defecto el puerto 80, Las URLs de HTTPS comienzan con "https://" y utilizan el puerto 443 por defecto. HTTP es inseguro y esta sujeto a ataques man-in-the-middle y eavesdropping que pueden permitir al atacante obtener acceso a cuentas de un sitio web e informacin confidencial. HTTPS est diseado para resistir esos ataques y ser seguro.

Capas de Red
HTTP opera en la capa ms alta del Modelo OSI, la Capa de Aplicacin; pero el protocolo de seguridad opera en una subcapa ms baja, cifrando un mensaje HTTP previo a la transmisin y descifrando un mensaje una vez recibido. Estrictamente hablando, HTTPS no es un protocolo separado, pero refiere el uso del HTTP ordinario sobre una Capa de Conexin Segura cifrada Secure Sockets Layer (SSL) o una conexin con Seguridad de la Capa de Transporte (TLS).

Configuracin del Servidor

Para preparar un servidor web que acepte conexiones HTTPS, el administrador debe crear un Certificado de clave pblica para el servidor web. Este certificado debe estar firmado
1

Protocolos https y ssh

por una Autoridad de certificacin para que el navegador web lo acepte. La autoridad certifica que el titular del certificado es quien dice ser. Los navegadores web generalmente son distribuidos con los certificados raz firmados por la mayora de las Autoridades de Certificacin por lo que estos pueden verificar certificados firmados por ellos.

Adquiriendo Certificados
Adquirir certificados puede ser gratuito1 (generalmente slo si se paga por otros servicios) o costar entre US$132 y US$1,5003 por ao. Las organizaciones pueden tambin ser su propia autoridad de certificacin, particularmente si son responsables de establecer acceso a navegadores de sus propios sitios (por ejemplo, sitios en una compaa intranet, o universidades mayores). Estas pueden fcilmente agregar copias de su propio certificado firmado a los certificados de confianza distribuidos con el navegador. Tambin existen autoridades de certificacin peer-to-peer.

Usar un Control de Acceso

El sistema puede tambin ser usado para la Autenticacin de clientes con el objetivo de limitar el acceso a un servidor web a usuarios autorizados. para hacer esto, el administrador del sitio tpicamente crea un certificado para cada usuario, un certificado que es guardado dentro de su navegador. Normalmente, este contiene el nombre y la direccin de correo del usuario autorizado y es revisado automticamente en cada reconexin para verificar la identidad del usuario, potencialmente sin que cada vez tenga que ingresar una contrasea.

En Caso de Claves Privadas Comprometidas

Un certificado puede ser revocado si este ya ha expirado, por ejemplo cuando el secreto de la llave privada ha sido comprometido. Los navegadores ms nuevos como son Firefox,4 Opera,5 e Internet Explorer sobre Windows Vista6 implementan el Protocolo de Estado de Certificado Online (OCSP) para verificar que ese no es el caso. El navegador enva el nmero de serie del certificado a la autoridad de certificacin o, es delegado va OCSP y la autoridad responde, dicindole al navegador si debe o no considerar el certificado como vlido.7

Limitaciones
El nivel de proteccin depende de la exactitud de la implementacin del navegador web, el software del servidor y los algoritmos de cifrado actualmente soportados. Vea la lista en Idea Principal. Tambin, HTTPS es vulnerable cuando se aplica a contenido esttico de publicacin disponible. El sitio entero puede ser indexado usando una Araa web, y la URI del recurso
2

Protocolos https y ssh

cifrado puede ser adivinada conociendo solamente el tamao de la peticin/respuesta.8 Esto permite a un atacante tener acceso al Texto plano (contenido esttico de publicacin), y al Texto cifrado (La versin cifrada del contenido esttico), permitiendo un ataque criptogrfico. Debido a que SSL opera bajo HTTP y no tiene conocimiento de protocolos de nivel ms alto, los servidores SSL solo pueden presentar estrictamente un certificado para una combinacin de puerto/IP en particular9 Esto quiere decir, que en la mayora de los casos, no es recomendable usar Hosting virtual name-based con HTTPS. Existe una solucin llamada Server Name Indication (SNI) que enva el hostname al servidor antes de que la conexin sea cifrada, sin embargo muchos navegadores antiguos no soportan esta extensin. El soporte para SNI est disponible desde Firefox 2, Opera 8, e Internet Explorer 7 sobre Windows Vista.10 11 12
Protocolos seguros para el Web

Se discuten SSH, SSL, TSL y HTTPS, los protocolos utilizados en la actualidad para intercambiar informacin de manera de hacer difcil que esta sea interceptada por terceros. Contar con protocolos seguros es importante tanto por las preocupaciones relacionadas con la privacidad como para permitir el comercio electrnico.
SEGURIDAD EN LA WEB

Dado el gran auge que hoy en da tiene Internet, su uso se ha masificado enormemente. Desde pginas meramente informativas hasta sitios interactivos usando tecnologas nuevas. Empresas de diversa ndole ya usan la Internet para comunicarse y el problema principal que surgi es la confiabilidad en que lo que se esta comunicando no sea visto por personas que puedan hacer mal uso de dicha informacin. Por ejemplo, las tiendas comerciales ya estn dando la posibilidad de realizar compras por la Web, pero el principal taln de Aquiles lo constituye la inseguridad que causa dar un nmero de tarjeta de crdito para pagar la compra. O cosas tan simples como cuando uno enva un mail y no querer que nadie lo lea sino el destinatario. A raz de todo esto surgieron tecnologas que persiguen mejorar la seguridad de todas estas comunicaciones.
SEGURIDAD EN LA TRANSMISIN

La seguridad de este tipo se basa en el hecho de poder encriptar los mensajes que se envan por a red entre un servidor y un cliente y que solo ellos puedan descifrar los contenidos a partir de una clave comn conocida solo por los dos. Para llevar a cabo esta seguridad se crearon diversos protocolos basados en esta idea:
3

Protocolos https y ssh

y y y y

SSH: Usado exclusivamente en reemplazo de telnet SSL: Usado principalmente en comunicaciones de hipertexto pero con posibilidad de uso en otros protocolos TSL: Es del mismo estilo del anterior. HTTPS: Usado exclusivamente para comunicaciones de hipertexto

SSH (SECURE SHELL)

Este protocolo fue diseado para dar seguridad al acceso a computadores en forma remota. Cumple la misma funcin que telnet o rlogin pero adems, usando criptografa, logra seguridad con los datos. A diferencia de telnet u otro servicio similar, SSH utiliza el puerto 22 para la comunicacin y la forma de efectuar su trabajo es muy similar al efectuado por SSL. Para su uso se requiere que por parte del servidor exista un demonio que mantenga continuamente en el puerto 22 el servicio de comunicacin segura, el sshd. El cliente debe ser un software tipo TeraTerm o Putty que permita la hacer pedidos a este puerto 22 de forma cifrada. La forma en que se entabla una comunicacin es en base la misma para todos los protocolos seguros:
y y

El cliente enva una seal al servidor pidindole comunicacin por el puerto 22. El servidor acepta la comunicacin en el caso de poder mantenerla bajo encriptacin mediante un algoritmo definido y le enva la llave publica al cliente para que pueda descifrar los mensajes. El cliente recibe la llave teniendo la posibilidad de guardar la llave para futuras comunicaciones o destruirla despus de la sesin actual

Ejemplo

Un ejemplo de protocolo https en una Web bancaria. Ahora ya se habrn dado cuenta que existe un protocolo seguro, el de tipo https; esta es una de las cosas que debemos observar cuando por ejemplo, ingresamos a la Web de un banco con nuestra clave y tarjeta de dbito o crdito, si esto no ocurre, si continuamos con el protocolo http, es mejor salir, puede tratarse de un sitio de estafa o phishing o en todo caso los datos que ingresemos pueden ser vistos por otros. Este tipo de protocolo utiliza un sistema de cifrado encriptado basado en el SSL, creando un medio cifrado para enviar y recibir informacin que se considera importante como dinero, claves y secuencias de tarjetas. https://www.hotmail.com
4

Protocolos https y ssh

Lo mismo sucede con las cuentas de correo, cuando ingresamos por ejemplo a Hotmail.com, vemos que el protocolo es http, y luego cambia a https, para regresar despus a http. Qu es esto?, pues simple, significa que la transferencia de datos con respecto a tu usuario y clave viajan de manera segura; sin embargo fijnse cuando mandan un mensaje:.sigue el http no es as?, por lo cual los datos que envies no viajan con total seguridad. Por ello es que cuando empleas el Messenger podrs ver el siguiente mensaje no reveles contraseas nietc, etc

Protocolo SSH
SSH (o Secure SHell) es un protocolo que facilita las comunicaciones seguras entre dos sistemas usando una arquitectura cliente/servidor y que permite a los usuarios conectarse a un host remotamente. A diferencia de otros protocolos de comunicacin remota tales como FTP o Telnet, SSH encripta la sesin de conexin, haciendo imposible que alguien pueda obtener contraseas no encriptadas. SSH est diseado para reemplazar los mtodos ms viejos y menos seguros para registrarse remotamente en otro sistema a travs de la shell de comando, tales como telnet o rsh. Un programa relacionado, el scp, reemplaza otros programas diseados para copiar archivos entre hosts como rcp. Ya que estas aplicaciones antiguas no encriptan contraseas entre el cliente y el servidor, evite usarlas mientras le sea posible. El uso de mtodos seguros para registrarse remotamente a otros sistemas reduce los riesgos de seguridad tanto para el sistema cliente como para el sistema remoto.

20.1. Caractersticas de SSH

El protocolo SSH proporciona los siguientes tipos de proteccin:
y

Despus de la conexin inicial, el cliente puede verificar que se est conectando al mismo servidor al que se conect anteriormente. El cliente transmite su informacin de autenticacin al servidor usando una encriptacin robusta de 128 bits. Todos los datos enviados y recibidos durante la sesin se transfieren por medio de encriptacin de 128 bits, lo cual los hacen extremamente difcil de descifrar y leer. El cliente tiene la posibilidad de reenviar aplicaciones X11 [1] desde el servidor. Esta tcnica, llamada reenvo por X11, proporciona un medio seguro para usar aplicaciones grficas sobre una red.

Ya que el protocolo SSH encripta todo lo que enva y recibe, se puede usar para asegurar protocolos inseguros. El servidor SSH puede convertirse en un conducto para convertir en seguros los protocolos inseguros mediante el uso de una tcnica llamada reenvo por puerto, como por ejemplo POP, incrementando la seguridad del sistema en general y de los datos.
5

Protocolos https y ssh

Red Hat Enterprise Linux contiene el paquete general de OpenSSH (openssh) as como tambin los paquetes del servidor OpenSSH (openssh-server) y del cliente (opensshclients). Consulte el captulo titulado OpenSSH en el Manual de administracin del sistema de Red Hat Enterprise Linux para obtener instrucciones sobre la instalacin y el desarrollo de OpenSSH. Observe que los paquetes OpenSSH requieren el paquete OpenSSL (openssl). OpenSSL instala varias bibliotecas criptogrficas importantes, permitiendo que OpenSSH pueda proporcionar comunicaciones encriptadas.

20.1.1. Por qu usar SSH?

Los usuario nefarios tienen a su disposicin una variedad de herramientas que les permiten interceptar y redirigir el trfico de la red para ganar acceso al sistema. En trminos generales, estas amenazas se pueden catalogar del siguiente modo:
y

Intercepcin de la comunicacin entre dos sistemas En este escenario, existe un tercero en algn lugar de la red entre entidades en comunicacin que hace una copia de la informacin que pasa entre ellas. La parte interceptora puede interceptar y conservar la informacin, o puede modificar la informacin y luego enviarla al recipiente al cual estaba destinada. Este ataque se puede montar a travs del uso de un paquete sniffer una utilidad de red muy comn.

Personificacin de un determinado host Con esta estrategia, un sistema interceptor finge ser el recipiente a quien est destinado un mensaje. Si funciona la estrategia, el sistema del usuario no se da cuenta del engao y contina la comunicacin con el host incorrecto. Esto se produce con tcnicas como el envenenamiento del DNS [2] o spoofing de IP (engao de direcciones IP) [3].

Ambas tcnicas interceptan informacin potencialmente confidencial y si esta intercepcin se realiza con propsitos hostiles, el resultado puede ser catastrfico. Si se utiliza SSH para inicios de sesin de shell remota y para copiar archivos, se pueden disminuir estas amenazas a la seguridad notablemente. Esto es porque el cliente SSH y el servidor usan firmas digitales para verificar su identidad. Adicionalmente, toda la comunicacin entre los sistemas cliente y servidor es encriptada. No servirn de nada los intentos de falsificar la identidad de cualquiera de los dos lados de la comunicacin ya que cada paquete est cifrado por medio de una llave conocida slo por el sistema local y el remoto.

Protocolos https y ssh

Versiones del protocolo SSH

Existen dos variedades en la actualidad: SSH v.1: vulnerable a un agujero de seguridad que permite, a un intruso, insertar datos en la corriente de comunicacin SSH v.2: carece de dicho agujero de seguridad (OpenSSH)

De qu nos protege SSH? SSH evita muchos de los ataques ms habituales, en los que los datos se ven comprometidos e incluso la seguridad de la red. Uno de los riesgos que evita, es IP spoofing, donde un host remoto enva paquetes que pretenden venir de otro ordenador, el cual es de confianza. Esta suplantacin de identidad es bastante peligrosa y SSH nos da una buena proteccin contra este mtodo. Aun hoy en da, se suele utilizar el protocolo de conexin entre ordenadores (o servidores), llamado telnet, el cual ha sido extremadamente til y utilizado en los ltimos aos. El problema es que el nombre de usuario y la contrasea son enviados en texto claro por la red. Esto significa que si alguien en el medio de la red (entre tu ordenador y el ordenador destino), captura los datos con un sniffer (herramienta de captura de datos), puede conseguir el usuario y la contrasea para poderlos utilizar en el futuro. SSH encripta estos datos segn viajan de una mquina a la otra, por lo que si son capturados, no tendrn ningn sentido para el que ha conseguido esta informacin.