RESUMEN

Seguridad informática

13 DE NOVIEMBRE DE 2022
[NOMBRE DE LA COMPAÑÍA]
[Dirección de la compañía]
Contenido
7. fundamentos de seguridad en redes. Aplicaciones y estándares ......................................... 2
7.1 Consentimiento sobre seguridad en la web........................................................................ 3
Tabla 7.1 ................................................................................................................................ 3
7.1.1 Amenazas a la seguridad de la web ............................................................................. 4
7.1.2 Enfoques para la seguridad del tráfico en la web ........................................................ 4
7.2 SSL (Secure Socket Layer) y TLS (Transport Layer Security) ................................................ 5
7.2.1 Arquitectura SSL ........................................................................................................... 5
7.2.2 Protocolo recond de SSL .............................................................................................. 6
7.2.3 Relleno.......................................................................................................................... 7
7.3 SET (Secure electronic transaction)..................................................................................... 8
7.3.1 Introducción a SET ........................................................................................................ 8

pág. 1
7. fundamentos de seguridad en redes. Aplicaciones y
estándares

Todas las empresas tienen páginas web y el número de usuarios también crece, por lo que estas
están implantando herramientas web para el comercio electrónico. Pero en verdad, internet y
las webs son vulnerables, esto, aumenta la demanda de servicios web seguros.

El capítulo comienza con una discusión sobre requisitos generales para la seguridad de las webs
y luego hay 2 esquemas relacionados: SSL/TLS y SET.

pág. 2
 7.1 Consentimiento sobre seguridad en la web
La www es una aplicación C/S básicamente, que se ejecuta en internet y en la intranet TCP/IP.

La web presenta nuevos retos que generalmente no se aprecian en la seguridad de los equipos
ni en la de la red:

- Internet bidireccional: a diferencia de los entornos de publicación tradicional, la web es

vulnerable a ataques a los servidores desde internet

- La web emplea información de empresas y negocios, si se manipulan los servidores web,

puede dar mala imagen

- Pese a haberse facilitado el uso de los navegadores y el desarrollo web, el software

subyacente sigue siendo muy complejo. Este, puede ocultar muchos fallos de seguridad

- Un serv. Web puede usarse como plataforma de acceso a los equipos de la empresa, por
lo que un atacante podría tener acceso a todos los equipos de la empresa

- Habitualmente, los usuarios no tienen buena seguridad, ni son consciente de esto

Tabla 7.1
Amenazas Consecuencias Contramedidas
Integridad • Modificación de los datos del usuario • Perdida en información • Suma de
• Navegador troyano • Maquina en peligro comprobación
• Modificación de memoria • Vulnerabilidad al resto de
• Modificación del tráfico del mensaje en amenazas
transito
Confidencialidad • Escuchas ocultas en la red • Perdida de información • Cifrado, proxy
• Robo de información del servidor • Perdida de privacidad web
• Robo de datos del cliente
• Información sobre la configuración de la
red
• Información sobre que cliente se
comunica con el servidor
Denegación de • Interrupción de procesos del usuario • Destructivo • Difícil de
servicio • Inundar la máquina con amenazas • Molesto prevenir
fraudulentas • Impide que los usuarios
• Llenar el espacio de disco o la memoria finalicen sus trabajos
• Aislar la maquina mediante ataques DNS
Autentificación • Suplantación de usuarios legítimos • Falsificación de usuario • Técnicas
• Falsificación de datos • Creer que la información criptográficas
falsa es valida

pág. 3
7.1.1 Amenazas a la seguridad de la web

Esas amenazas se pueden agrupar en ataques pasivos y ataques activos

Pasivos: Escuchas del tráfico de la web y el navegador, así obteniendo datos y información
sensible

Activos: Suplantación de identidad, alteración del tránsito entre cliente y servidor y modificación
de datos

Otra manera de clasificarlo es dependiendo de la ubicación de la amenaza: servidor, navegador

y tráfico de red entre estos. Siendo servidor y navegador seguridad de equipos y la otra
seguridad en la red

7.1.2 Enfoques para la seguridad del tráfico en la web

Hay varios enfoques para proporcionar seguridad en la web. Son similares en los servidores web
y también en los mecanismos que usan, pero se diferencian en el ámbito de aplicabilidad y en la
ubicación en la pila TCP/IP

Una forma de proporcionar seguridad en la web es el uso de Seguridad IP. La ventaja es que es
transparente al usuario final y las aplicaciones, proporcionando una solución de propósito
general, además incluye una capacidad de filtrado, de manera que solamente el tráfico
seleccionado afecta a la carga de procesamiento de IPSec.

Otra solución es implementar la seguridad justo encima de TCP. El principal ejemplo de este
enfoque es Secure Sockets Layer, y su sucesor, el estándar de Internet Transport Layer Security.
En este nivel, hay 2 opciones de implementación.

- SSL se podría proporcionar como parte de la suite de protocolos y de esta manera ser
transparente para las aplicaciones
- SSL se podría incluir en paquete específicos. Por ejemplo, ciertos navegadores vienen
equipados con SSL y la mayoría de los servidores web tienen el protocolo implementado

El ultimo enfoque es la inclusión de servicios de seguridad específicos de las aplicaciones. La

ventaja de este enfoque es que el servicio puede adecuar a las necesidades específicas de una
aplicación. El contexto de la seguridad web es un ejemplo importante de este enfoque es Secure
Electronic Transaction (SET)

pág. 4
7.2 SSL (Secure Socket Layer) y TLS (Transport Layer Security)

Netscape creo SSL. La versión 3 de este protocolo se diseñó con la participación pública y con el
apoyo de la industria y se publicó como borrador en internet. Posteriormente se lanzó para
estandarizarlo en internet. Se formo el grupo de trabajo TLS con el objetivo de desarrollar un
estándar común. La versión SSLv3.1 es compatible con la SSLv3

7.2.1 Arquitectura SSL

Esta diseñado de forma que utilice TCP para proporcionar un servicio fiable y seguro E2E. SSL
no es un protocolo simplemente, sino que tiene dos niveles de protocolos

El Protocolo Record de SSL proporciona servicios de seguridad básica a carios protocolos de alto
nivel. En particular HTTP, puede operar encima de SSL. Se definen 3 protocolos de nivel más alto
como parte de SLL: Handshake Protocol, Change Cipher Spec Protocol y Alert Protocol. Esos
protocolos específicos de SSL, se utilizan en la gestión de intercambios SSL y examinaran más
tarde esta sección.

Dos conceptos importantes de SSL, son la sesión SSL y la conexión SSL, definidos en las
especificaciones de la siguiente manera:

- Conexión: una conexión es un transporte que proporciona un tipo de servicio idóneo,

conexiones de igual a igual. Cada conexión asociada a una sesión
- Sesión: una sesión SSL es una asociación entre un cliente y un servidor. Creadas por el
protocolo de negociación. Definen un conjunto de parámetros criptográficos de
seguridad, que se pueden compartir múltiples conexiones. Las sesiones se usan para
evitar el costoso proceso de negociación de nuevos parámetros de seguridad para cada
conexión

Entre cualquier par de interlocutores, podría haber múltiples conexiones seguras. También
podría haber varias simultaneas, pero esto no se hace

Hay un número de estados asociados a cada sesión. Cuando se establece una sesión, hay un
estado para leer o escribir, durante el protocolo Handshake, se crean estados de lectura y
escritura pendientes y al finalizar los estados pendientes se convierten en estados operativos

Una fase de sesión define por los siguientes parámetros:

- Identificador de sesión: secuencia arbitraria de bytes elegida por el servidor para

identificar un estado de sesión activo o reanudable
- Certificado de la entidad par: Este elemento puede ser nulo
- Método de compresión: algoritmo usado para comprimir datos antes del cifrado
- Especificación de cifrado: especifica el grueso del algoritmo de cifrado y un algoritmo de
hash usado para el cálculo del MAC. También define atributos criptógrafos.
- Clave maestra: contraseña 48 bits compartido entre cliente y servidor
- Es reanudable: se indica si se puede usar para utilizar para iniciar nuevas conexiones
pág. 5
Un estado de conexión se define por los siguientes parámetros:

- Valores aleatorios del servidor y del cliente: secuencias de byte elegidas por el servidor
y el cliente para cada conexión
- Clave secreta para MAC de escritura del servidor: usada en operaciones MAC sobre
datos enviados por el servidor
- Clave secreta para MAC de escritura del cliente: usada en operaciones MAC sobre datos
enviados por el cliente
- Clave de escritura del servidor: la clave de cifrado convencional para los datos cifrados
por el servidor y descifrados por el cliente
- Clave de escritura del cliente: la clave de cifrado convencional para los datos cifrados
por el cliente y descifrados por el servidor
- Vector de iniciación: cuando se usa un cifrador de bloque en modo CBC, se necesita un
vector de inicialización para cada clave. Este campo lo inicializa primero el protocolo
Handshake. A partir de ahí el bloque final de texto cifrado de cada registro se usa como
vector de iniciación del siguiente registro
- Números de secuencia: cada parte mantiene números de secuencia para los mensajes
transmitidos y recibidos en cada conexión, Cuando una de las partes envía o recibe un
mensaje chanfe cipher spec, se pone a cero el número de secuencia correspondiente.
Los números de secuencia no pueden exceder de 264-1

7.2.2 Protocolo recond de SSL

El protocolo Record proporciona dos servicios a las conexiones SSL:

- Confidencialidad: el protocolo Handshake define una clave secreta compartida que se

usa para cifrado convencional de la carga útil de SSL
- Integridad de mensajes: el protocolo Handshake también define una clave secreta
compartida que se usa para formar un código de autentificación de mensajes

El protocolo toma un mensaje de la aplicación que se va a transmitir, fragmenta los datos en

bloques manejables, opcionalmente los comprime, le añade la MAC, realiza el cifrado, le añade
una cabecera y transmite la unidad resultante en un segmento TCP. Los datos recibidos se
descifran, verifican, descomprimen y ensamblan. Después se envían a la app receptora en algún
nivel superior

El primer paso es la fragmentación. Cada mensaje de nivel superior se fragmenta en bloques de

214 bytes o mas pequeños. Después, opcionalmente, se puede aplicar compresión. La
compresión debe realizarse sin perdidas y no pasar de 1024 bytes.

El algoritmo se aplica hasta producir 48 bytes pseudoaleatorios de salida. La generación del

material del bloque de claves se define de la siguiente forma:

Key_block=

PRF(master_secret, “key expansión”

SecurityParameters.server_ramdom||SecurityParameters.client_ramdom)

Hasta que se haya generado la cantidad suficiente de salida. Como en SSLv3, el bloque de claves
es una función de la clave maestra y de los números aleatorios del cliente y del servidor, pero
para TLS es otro algoritmo

pág. 6
7.2.3 Relleno

En SSL, la cantidad de relleno añadido antes del cifrado de los datos de usuario es la mínima
necesaria, de manera que el tamaño total de los datos que se van a cifrar en un múltiplo de la
longitud del bloque de cifrado. En TLS hay un máximo de 255 bytes, para que el total sea múltiplo
de la longitud del bloque de cifrado. EJ, si el texto en claro mas el MAC mas el byte de longitud
del relleno es de 79 bytes y puede ser 9,17…hasta 249.

Puede usarse una longitud variable del relleno para frustrar ataques basado sen el análisis del
tráfico de mensajes

pág. 7
7.3 SET (Secure electronic transaction)

SET es una especificación abierta de cifrado y seguridad para proteger transacciones de tarjetas
de crédito en internet. La versión actual es la SETv1, surgió a partir de la petición de MasterCard
y Visa para crear este estándar de seguridad en 1996.

Un gran número de compañías lo aplicaron en el desarrollo de especificaciones iniciales. En 1996

se comenzó con numerosas pruebas del concepto y en 1998 estaba disponible la primera serie
de productos orientados a SET

SET es un conjunto de protocolos de seguridad y formatos que permite a los usuarios emplear
las infraestructuras existentes de pago por tarjeta de crédito, de forma segura en una red
abierta.

Proporciona 3 servicios:

- Proporciona un canal de comunicación seguro entre todas las partes implicadas en la

transición
- Proporciona confianza mediante el uso de certificados digitales X.509v3
- Asegura la privacidad porque la información solamente está disponible cuando y donde
es necesario a las partes de una transición

SET es una especificación compleja definida en 3 libros

- Libro 1: descripción de negocios

- Libro 2: guía del programador
- Libro 3: definición formal del protocolo

7.3.1 Introducción a SET

Una buena manera de comenzar la discusión sobre SET es observando los requisitos que exigen
los negocios a SET, sus características fundamentales y los participantes en las transacciones

Requisitos

El libro 1 enumera los siguientes requisitos para el procesamiento de pago con tarjetas de
crédito en internet y en otras redes:

- Proporcionar confidencialidad de la información de pago y del pedido

- Asegura la integridad de todos los datos transmitidos
- Proporcionar autentificación de que un titular de tarjeta es el usuario legitimo de una
cuenta de tarjeta de crédito
- Proporcionar autentificación de que el comerciante puede aceptar transacciones con
tarjetas de crédito a través de su relación con la entidad financiera
- Asegurar el uso de las mejores practicas de seguridad y técnicas de diseño de sistemas
para proteger a todas las partes legitimas en una transición de comercio electrónico
- Crear un protocolo que no dependa de los mecanismos de seguridad de transporte ni
que evite su uso

pág. 8