Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad informática
13 DE NOVIEMBRE DE 2022
[NOMBRE DE LA COMPAÑÍA]
[Dirección de la compañía]
Contenido
7. fundamentos de seguridad en redes. Aplicaciones y estándares ......................................... 2
7.1 Consentimiento sobre seguridad en la web........................................................................ 3
Tabla 7.1 ................................................................................................................................ 3
7.1.1 Amenazas a la seguridad de la web ............................................................................. 4
7.1.2 Enfoques para la seguridad del tráfico en la web ........................................................ 4
7.2 SSL (Secure Socket Layer) y TLS (Transport Layer Security) ................................................ 5
7.2.1 Arquitectura SSL ........................................................................................................... 5
7.2.2 Protocolo recond de SSL .............................................................................................. 6
7.2.3 Relleno.......................................................................................................................... 7
7.3 SET (Secure electronic transaction)..................................................................................... 8
7.3.1 Introducción a SET ........................................................................................................ 8
pág. 1
7. fundamentos de seguridad en redes. Aplicaciones y
estándares
Todas las empresas tienen páginas web y el número de usuarios también crece, por lo que estas
están implantando herramientas web para el comercio electrónico. Pero en verdad, internet y
las webs son vulnerables, esto, aumenta la demanda de servicios web seguros.
El capítulo comienza con una discusión sobre requisitos generales para la seguridad de las webs
y luego hay 2 esquemas relacionados: SSL/TLS y SET.
pág. 2
7.1 Consentimiento sobre seguridad en la web
La www es una aplicación C/S básicamente, que se ejecuta en internet y en la intranet TCP/IP.
La web presenta nuevos retos que generalmente no se aprecian en la seguridad de los equipos
ni en la de la red:
- Un serv. Web puede usarse como plataforma de acceso a los equipos de la empresa, por
lo que un atacante podría tener acceso a todos los equipos de la empresa
Tabla 7.1
Amenazas Consecuencias Contramedidas
Integridad • Modificación de los datos del usuario • Perdida en información • Suma de
• Navegador troyano • Maquina en peligro comprobación
• Modificación de memoria • Vulnerabilidad al resto de
• Modificación del tráfico del mensaje en amenazas
transito
Confidencialidad • Escuchas ocultas en la red • Perdida de información • Cifrado, proxy
• Robo de información del servidor • Perdida de privacidad web
• Robo de datos del cliente
• Información sobre la configuración de la
red
• Información sobre que cliente se
comunica con el servidor
Denegación de • Interrupción de procesos del usuario • Destructivo • Difícil de
servicio • Inundar la máquina con amenazas • Molesto prevenir
fraudulentas • Impide que los usuarios
• Llenar el espacio de disco o la memoria finalicen sus trabajos
• Aislar la maquina mediante ataques DNS
Autentificación • Suplantación de usuarios legítimos • Falsificación de usuario • Técnicas
• Falsificación de datos • Creer que la información criptográficas
falsa es valida
pág. 3
7.1.1 Amenazas a la seguridad de la web
Pasivos: Escuchas del tráfico de la web y el navegador, así obteniendo datos y información
sensible
Activos: Suplantación de identidad, alteración del tránsito entre cliente y servidor y modificación
de datos
Hay varios enfoques para proporcionar seguridad en la web. Son similares en los servidores web
y también en los mecanismos que usan, pero se diferencian en el ámbito de aplicabilidad y en la
ubicación en la pila TCP/IP
Una forma de proporcionar seguridad en la web es el uso de Seguridad IP. La ventaja es que es
transparente al usuario final y las aplicaciones, proporcionando una solución de propósito
general, además incluye una capacidad de filtrado, de manera que solamente el tráfico
seleccionado afecta a la carga de procesamiento de IPSec.
Otra solución es implementar la seguridad justo encima de TCP. El principal ejemplo de este
enfoque es Secure Sockets Layer, y su sucesor, el estándar de Internet Transport Layer Security.
En este nivel, hay 2 opciones de implementación.
- SSL se podría proporcionar como parte de la suite de protocolos y de esta manera ser
transparente para las aplicaciones
- SSL se podría incluir en paquete específicos. Por ejemplo, ciertos navegadores vienen
equipados con SSL y la mayoría de los servidores web tienen el protocolo implementado
pág. 4
7.2 SSL (Secure Socket Layer) y TLS (Transport Layer Security)
Netscape creo SSL. La versión 3 de este protocolo se diseñó con la participación pública y con el
apoyo de la industria y se publicó como borrador en internet. Posteriormente se lanzó para
estandarizarlo en internet. Se formo el grupo de trabajo TLS con el objetivo de desarrollar un
estándar común. La versión SSLv3.1 es compatible con la SSLv3
Esta diseñado de forma que utilice TCP para proporcionar un servicio fiable y seguro E2E. SSL
no es un protocolo simplemente, sino que tiene dos niveles de protocolos
El Protocolo Record de SSL proporciona servicios de seguridad básica a carios protocolos de alto
nivel. En particular HTTP, puede operar encima de SSL. Se definen 3 protocolos de nivel más alto
como parte de SLL: Handshake Protocol, Change Cipher Spec Protocol y Alert Protocol. Esos
protocolos específicos de SSL, se utilizan en la gestión de intercambios SSL y examinaran más
tarde esta sección.
Dos conceptos importantes de SSL, son la sesión SSL y la conexión SSL, definidos en las
especificaciones de la siguiente manera:
Entre cualquier par de interlocutores, podría haber múltiples conexiones seguras. También
podría haber varias simultaneas, pero esto no se hace
Hay un número de estados asociados a cada sesión. Cuando se establece una sesión, hay un
estado para leer o escribir, durante el protocolo Handshake, se crean estados de lectura y
escritura pendientes y al finalizar los estados pendientes se convierten en estados operativos
- Valores aleatorios del servidor y del cliente: secuencias de byte elegidas por el servidor
y el cliente para cada conexión
- Clave secreta para MAC de escritura del servidor: usada en operaciones MAC sobre
datos enviados por el servidor
- Clave secreta para MAC de escritura del cliente: usada en operaciones MAC sobre datos
enviados por el cliente
- Clave de escritura del servidor: la clave de cifrado convencional para los datos cifrados
por el servidor y descifrados por el cliente
- Clave de escritura del cliente: la clave de cifrado convencional para los datos cifrados
por el cliente y descifrados por el servidor
- Vector de iniciación: cuando se usa un cifrador de bloque en modo CBC, se necesita un
vector de inicialización para cada clave. Este campo lo inicializa primero el protocolo
Handshake. A partir de ahí el bloque final de texto cifrado de cada registro se usa como
vector de iniciación del siguiente registro
- Números de secuencia: cada parte mantiene números de secuencia para los mensajes
transmitidos y recibidos en cada conexión, Cuando una de las partes envía o recibe un
mensaje chanfe cipher spec, se pone a cero el número de secuencia correspondiente.
Los números de secuencia no pueden exceder de 264-1
Key_block=
SecurityParameters.server_ramdom||SecurityParameters.client_ramdom)
Hasta que se haya generado la cantidad suficiente de salida. Como en SSLv3, el bloque de claves
es una función de la clave maestra y de los números aleatorios del cliente y del servidor, pero
para TLS es otro algoritmo
pág. 6
7.2.3 Relleno
En SSL, la cantidad de relleno añadido antes del cifrado de los datos de usuario es la mínima
necesaria, de manera que el tamaño total de los datos que se van a cifrar en un múltiplo de la
longitud del bloque de cifrado. En TLS hay un máximo de 255 bytes, para que el total sea múltiplo
de la longitud del bloque de cifrado. EJ, si el texto en claro mas el MAC mas el byte de longitud
del relleno es de 79 bytes y puede ser 9,17…hasta 249.
Puede usarse una longitud variable del relleno para frustrar ataques basado sen el análisis del
tráfico de mensajes
pág. 7
7.3 SET (Secure electronic transaction)
SET es una especificación abierta de cifrado y seguridad para proteger transacciones de tarjetas
de crédito en internet. La versión actual es la SETv1, surgió a partir de la petición de MasterCard
y Visa para crear este estándar de seguridad en 1996.
SET es un conjunto de protocolos de seguridad y formatos que permite a los usuarios emplear
las infraestructuras existentes de pago por tarjeta de crédito, de forma segura en una red
abierta.
Proporciona 3 servicios:
Una buena manera de comenzar la discusión sobre SET es observando los requisitos que exigen
los negocios a SET, sus características fundamentales y los participantes en las transacciones
Requisitos
El libro 1 enumera los siguientes requisitos para el procesamiento de pago con tarjetas de
crédito en internet y en otras redes:
pág. 8