La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Cifrado de datos Presentado por: Federico Cabello Haddad Rodrigo Peña Segovia.

Presentaciones similares


Presentación del tema: "Cifrado de datos Presentado por: Federico Cabello Haddad Rodrigo Peña Segovia."— Transcripción de la presentación:

1 Cifrado de datos Presentado por: Federico Cabello Haddad Rodrigo Peña Segovia

2 Puesto que en las redes de acceso remoto y VPN vamos a tratar sólo de la protección de los datos en tránsito, sólo son efectivos los sistemas que se basan en métodos de cifrado para impedir tres tipos de ataque, puesto que hay que hacer notar que a pesar de que no es viable impedir un ataque de denegación de servicio mediante métodos de cifrado. Las estrategias básicas para enfrentarse mediante el cifrado de los datos a los tres tipos de ataques en que nos vamos a centrar son las siguientes: - Contra la interceptación del flujo de datos en si, no se proporciona ninguna defensa, sino que la defensa se basa en que los datos interceptados no contienen información accesible para el atacante, que tendría que disponer de una capacidad computacional enormemente elevada para descifrar la información. - Contra la modificación del flujo de información el cifrado proporciona la capacidad de detección de dicha modificación, alertando de la intrusión y permitiendo que se rechace la veracidad de la información suplantada. · Contra la generación de la información, la ausencia por parte del atacante de las herramientas de cifrado o de sus claves permiten inhabilitar el ataque mediante la capacidad de descartar la información que no sigue los estándares de codificación que se hayan decidido necesarios para considerar fiable la información recibida.

3 El cifrado de los datos se basa en el efectuar operaciones sobre los datos de tal manera que la combinación de operaciones realizada ofusque la información ante cualquier intento de comprometerla, y de la cantidad y calidad de las operaciones efectuadas sobre los datos depende la calidad de la ofuscación y la fortaleza del sistema de cifrado. Es obvio que el hecho de efectuar un procesado sobre la información, sobre todo si este procesado es gravoso en recursos computacionales, aparece el inconveniente de que el rendimiento global de toda la transmisión disminuye. Llegamos, pues, a la conclusión de que si bien el cifrado de los datos es una manera aceptable de asegurar la fiabilidad de la transmisión, debemos proveernos de un sistema de cifrado que proporcione una velocidad de proceso que no interfiera con un uso aceptable del ancho de banda de la SVPN (red privada virtual segura).

4 Esta necesidad de velocidad de transmisión efectiva solo puede conseguirse a través de aceleradores hardware, que descarguen todas las operaciones de cifrado de lo que son los equipos integrantes de la red. Dentro de la necesidad de cifrar los datos, y de hacerlo mediante equipos dedicados, existen dos enfoques principales: 1. Cifrado de los datos en la computadora de origen 2. Cifrado de los datos en pasarelas dedicadas 1. Cifrado de los datos en la computadora de origen El cifrado del flujo de los datos en la computadora de origen consiste en proveer a los equipos de la red de tarjetas de red con capacidades de cifrado. La ventaja de este sistema es que no es necesario efectuar ninguna operación adicional a la hora de transmitir los datos a través de Internet, con lo cual el ancho de banda efectivo entre las subredes de la VPN anterior a la conversión de la red en un componente de una SVPN se mantiene.

5 El inconveniente principal de esta solución es que los equipos de cifrado deben estar presentes en todos y cada uno de los equipos que forman las redes que componen la SVPN, por lo que debido a los condicionantes económicos se suele utilizar solo en SVPN donde la necesidad de mantener la información en un estado de confidencialidad es absoluta. Gráficamente, la anterior topología seguiría el esquema que se puede observar en la figura siguiente: Como se puede comprobar, los datos llegan cifrados al elemento enrutador, que puede mantenerse invariable desde la fase de implantación de la VPN y durante el paso a SVPN.

6 2. Cifrado de los datos en pasarelas dedicadas Visto el inconveniente que proporciona el proveer de periféricos con capacidades de cifrado a todas y cada uno de los ordenadores que forman la VPN, la solución que más frecuentemente se adopta es la de unificar en un solo punto el cifrado de los datos. De esta manera, el trafico se mantiene en modo claro en el interior de cada una de las subredes que componen la VPN, y solo es cifrado cuando el flujo de información se prevé que deba ser dirigido hasta el exterior. En la imagen se puede ver como el cifrado se realiza de la pasarela hacia afuera. En este caso, puesto que se busca unificar el cifrado en un solo punto, lo mas adecuado es incorporar esta capacidad en el subsistema de enrutamiento, o bien incorporando tarjetas cifradoras en los routers.

7 En función de cual sea la filosofía adoptada como solución para proporcionar el cifrado al flujo de información, se dispone de dos métodos de implementación del proceso de cifrado. TECNOLOGÍAS DE CIFRADO 1. Procesadores RISC dedicados, en los cuales el algoritmo de cifrado esta implementado en la propia mascara. Como ventajas, estos procesadores son los que proporcionan mayores velocidades de proceso, superando en su mayoría a los 10 Mb/s y en algunos casos, alcanzando los 100 Mb/s. En su contra tienen el hecho de que no permiten cambios en los algoritmos de cifrado, y que si estos no son públicos, no se dispone de una seguridad real en la fortaleza de la ofuscación. 2. Procesadores matemáticos de punto fijo, en general procesadores digitales de señal, con el algoritmo de cifrado residente en las memorias periféricas al procesador. El hecho de que se utilicen procesadores de punto fijo viene dado por la característica de los algoritmos de cifrado en los cuales las operaciones de ofuscación se componen principalmente de rotaciones y permutaciones de bits, operaciones en las cuales los procesadores digitales de señal en punto fijo están altamente especializados.

8 De la misma manera que pueden observarse pasarelas de cifrado que son en el fondo ordenadores personales con tarjetas aceleradoras, no debería resultar extraño observar que los algoritmos y protocolos de cifrado que soportan estas tarjetas y estos procesadores dedicados son los comunes en Internet, por la sencilla razón de que la compatibilidad que hace que Internet sea el sustrato más lógico para las SVPNs es la que también fuerza que dichas tarjetas soporten estos estándares. Los algoritmos residentes en los subsistemas aceleradores de cifrado a través de implementaciones hardware son los que se pueden encontrar en las versiones software de los productos habituales para VPN, salvo que están específicamente optimizados para conseguir la mayor velocidad de proceso posible. PROTOCOLOS PKCS#11 IKE IPSec

9 FUNCIONES DE CIFRADO Algoritmos de clave publica RSA ( ) DSA (1024) Intercambio de claves Diffie-Hellman ( ) Firma digital RSA (2048) DSA (1024 bits) Algoritmos de clave secreta DES 3DES RC2 RC4 RC5 CAST-128 Algoritmos de Hash SHA-1 MD-2 MD-5 Códigos de autentificación de mensajes HMAC-MD5 HMAC-SHA-1 SSL3-MD5-MAC SSL3-SHA-1-MAC Generación de números pseudoaleatorios Por ruido blanco Anexos C de ANSI X9.17 Validados FIPS 140-1

10 SEGURIDAD MEDIANTE CIFRADO VIA HARDWARE Y SEGURIDAD MEDIANTE CIFRADO EN EL PROTOCOLO. IPSec Y IPv6. Si se tiene en cuenta el soporte que proporcionan la mayor parte de los sistemas de cifrado basados en hardware del protocolo IPSec, y si a la vez se considera que a pesar de que IPSec se esté utilizando en la versión actual de IP forma parte de la implementación genérica de la torre de protocolos IP que se supone que va a desplegar a partir de la migración a Ipv6, nos encontramos que lo que pudiera parecer una inversión innecesaria no es tal. Es lógico suponer que el esperar a que se despliegue el IPv6 puede parecer que va a solucionar el problema al incorporar IPSec, tunneling y otra serie de herramientas orientadas a la creación de SVPNs. Sin embargo, el problema no es tanto para los sistemas de cifrado como para los cortafuegos, puesto que gran parte de la seguridad que IPv6 va a proporcionar se basara en un uso exhaustivo de las técnicas de encapsulado y tunneling. Estas herramientas son las que ahora intentan suplir varios de los módulos que se incorporan habitualmente en los sistemas de cortafuegos, como el NAT, el masquerading y otras.

11 Desde nuestro punto de vista, tener en cuenta que la mayor parte de las herramientas que actualmente se utilizan para definir una SVPN robusta van a estar soportadas en una próxima implementación de IP solo indica que todas las técnicas de cifrado y intercambio de claves van a pasar de ser unas tácticas que se implementa porque se necesitan, a pasar a ser unas técnicas de las que se dispone como parte de las capacidades de la red que de la que se dispone. De todo ello, es correcto suponer que el uso de los protocolos criptográficos como parte integrante de la normalidad en el uso de la red va a hacer que haya un incremento de la demanda de la capacidad intrínseca de cifrado de la que se debe disponer en una red estándar, sea esta configurada como SVPN o no. Y puesto que toda esta capacidad de cifrado es lo que realmente es el trabajo de los aceleradores hardware que hasta ahora hemos venido comentando, la conclusión a la que se debe llegar es que el disponer ahora de unas posibilidades que mañana serán necesarias no es ningún inconveniente, antes bien, es una ventaja.


Descargar ppt "Cifrado de datos Presentado por: Federico Cabello Haddad Rodrigo Peña Segovia."

Presentaciones similares


Anuncios Google