La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Seguridad en Internet.

Publicada porEugènio Carrasco Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Seguridad en Internet."— Transcripción de la presentación:

1 Seguridad en Internet

2 Seguridad IP

3 Ejemplo TCP/IP

4 Stack TCP/IP TCP IP ¿Qué tenemos inicialmente? HTTP FTP SMTP
Podemos aplicar seguridad en cualquiera de estos puntos

5 ¿Dónde podemos aplicar Seguridad?
SMTP FTP TCP HTTP ESP AH IP SMTP FTP SSL/PCT/TLS HTTP IP TCP Transport Network SET SMTP FTP HTTP IP TCP PGP S/MIME S-HTTP IP TCP Application Presentation

6 Header IPv4 (Repaso)

7 Header IPv6 (Repaso)

8 IP Security (Overview)
IPSec no es un protocolo aislado. En vez de ello IPSec provee un conjunto de algoritmos de seguridad más un marco de trabajo que permite que dos entidades que se comunican usen cualquier algoritmo de seguridad apropiado.

9 IP Security (Overview)
Aplicaciones de IPSec Hacer segura la conectividad entre dos sucursales de una organización sobre Internet: VPN. Hacer seguro el acceso remoto desde Internet. Establecer conectividad extranet e intranet con otras organizaciones. Mejorar la seguridad en e-commerce. Mejorar la SET.

10 IP Security: escenario

11 IP Security (Overview)
Beneficios de IPSec Soporta integridad y autentificación (AH (Authentication Header) y encripción (ESP (Encrypted Security Payload)) en capa 3. Transparente a las aplicaciones (se inserta bajo la capa de transporte (TCP, UDP)). Es transparente a los usuarios. Provee seguridad para usuarios individuales. IPSec puede asegurar que: Un advertisement proveniente de un router o vecino llega realmente de un router autorizado. Un redirect message viene desde el router al cual se le envió el paquete inicial. Un routing update no puede ser falsificado.

12 Arquitectura de IPSec (1)

13 Arquitectura de IPSec (2)
Documentos de IPSec: RFC 2401: An overview of security architecture RFC 2402: Description of a packet encryption extension to IPv4 and IPv6 RFC 2406: Description of a packet emcryption extension to IPv4 and IPv6 RFC 2408: Specification of key managament capabilities Muchísimas RFC más.

14 Arquitectura de IPSec (3)

15 Organización de las RFC’s de IPSec
DOI = Domain of Interpretation

16 Servicios de IPSec Control de Acceso.
Integridad no orientada a conexión (connectionless). Autentificación del origen de los datos. Rechazo de paquetes reenviados (replay). Confidencialidad (encripción). Confidencialidad limitada sobre el flujo del tráfico.

17 Security Associations (SA)
Concepto clave que aparece en los mecanismos de autenticidad y confidencialidad. Es una relación de un solo sentido (one way) entre un emisor y un receptor. Una SA se encuentra identificada por 3 parámetros: Security Parameter Index (SPI) Dirección IP Destino Security Protocol Identifier

18 ESP con autentificación ESP AH Tunnel Mode SA Transport Mode SA
Encripta y autentifica el paquete IP interno. Encripta el IP payload y cualquier extension header del IPv6. Autentifica el IP payload pero no el IP header. ESP con autentificación Encripta el paquete IP interno. ESP Autentifica el paquete IP interno completo más ciertas porciones del header del IP externo. Autentifica el IP payload y ciertas porciones del header IP y el extension header del IPv6. AH Tunnel Mode SA Transport Mode SA

19 Servicios de IPSec

20 Antes de aplicar AH

21 Transport Mode (Autentificación AH)
Protección para los protocolos de nivel superior end-end (C/S, 2 WS)

22 Tunnel Mode (Autentificación AH)
Protección del paquete IP completo. host-subnet, subnet-subnet.

23 Header de Autentificación
Brinda soporte para integridad de datos y autentificación (código MAC (clave secreta compartida)) de los paquetes IP. Protege de ataques replay.

24 Autentificación End-to-End vs. End-to-Intermediate
Transport mode SA Tunnel mode SA

25 Encapsulating Security Payload
ESP provee los servicios de confidencialidad (mensaje (total) y tráfico (parcial)).

26 Algoritmos de Encripción y Autentificación
Encripción (long MAC default = 96 bits): Three-key triple DES (3DES) RC5 IDEA Three-key triple IDEA (3IDEA) CAST Blowfish etc. (DOI) Autentificación: HMAC-MD5-96 HMAC-SHA-1-96

27 Encripción y Autentificación ESP

28 Encripción y Autentificación ESP

29 Combinaciones de SA’s Un SA puede implementar AH o ESP pero no ambos.
Solución: múltiples SA’s. * = IPSec

30 Combinaciones de SA’s * = IPSec

31 Combinaciones de SA’s * = IPSec

32 Combinaciones de SA’s * = IPSec

33 Manejo de Claves Dos tipos: Manual Automatizada Administrador.
Oakley Key Determination Protocol. Manejo de claves. Internet Security Association and Key Management Protocol (ISAKMP). Protocolo de manejo asociado a las claves.

34 Oakley Presenta tres métodos de autentificación: Características:
Firma digital. Criptografía de clave pública. Criptografía de clave simétrica. Características: cookies. DH para negociar grupos y para intercambio de claves públicas. números random (defensa contra replay). Autentifica el intercambio DH para evitar ataques MiM.

35 ISAKMP

36 Uso de Headers y Seguridad
Los standards IPSec recomiendan usar el AH para proteger el ESP AH valida las direcciones IP y el contenido del mensaje (payload). Si se omite el ESP Sin el ESP, es posible el eavesdrop de la información autentificada (es un problema si se reutilizan passwords secretos). Si se omite el AH Generalmente ESP no protege contra modificación. ESP es vulnerable al header cut-and-paste attack el atacante saca el ESP de los paquetes e inserta un nuevo ESP destinado a otra máquina (cuando se utiliza el IPSec proxy). Una solución es asignar SA’s únicos a diferentes pares de hosts que necesitan comunicarse (horrible para los administradores!).

37 Lectura Recomendada Comer, D. Internetworking with TCP/IP, Volume I: Principles, Protocols and Architecture. Prentice Hall, 1995. Stevens, W. TCP/IP Illustrated, Volume 1: The Protocols. Addison-Wesley, 1994. Stallings, W. Network Security Essentials. Capítulo 6. Prentice Hall, 2000.

38 Seguridad en la WWW

39 Consideraciones acerca de la
Seguridad en la WWW La web es una vidriera muy visible. El software (complejo) detrás de los servers de web puede ocultar muchos problemas de seguridad. Los servers de web son (relativamente) fáciles de configurar y administrar. Los usuarios generalemente NO saben acerca de los riesgos que corren en el mundo www.

40 Seguridad en TCP/IP

41 SSL y TLS: Historia SSL (Secure Socket Layer) fue creado por Netscape.
SSLv1 fue rápidamente reemplazado por SSLv2. SSLv2 tiene algunos problemas de seguridad pero todavía se utiliza. PCT fue la respuesta MicroSoft a SSLv2. Arregla algunos de los problemas de SSLv2 pero fue reemplazado por SSLv3. El grupo de desarrollo de TLS (Transport Layer Security) se formó dentro del IETF. La primer versión de TLS puede verse como SSLv3.1

42 ¿Qué Problemas resuelve SSL?
Permite comunicaciones seguras entre dos computadoras siempre y cuando al menos una de ellas tenga un certificado confiable para la otra (evitando MiM). Evita que los desarrolladores de aplicaciones tengan que enfrentar las complejidades y peligros del diseño de criptosistemas. Soporta autentificación, encripción e intercambio de claves. Conexiones confiables (integridad) vía funciones hash seguras. Eficiente, extensible, fácil de integrar.

43 Arquitectura SSL

44 Arquitectura SSL

45 SSL Record Protocol

46 Formato del Registro SSL

47 SSL Record Protocol Payload

48 Handshake Protocol (1) Es la parte más compleja de SSL.
Permite que el server y el cliente se autentifiquen mutuamente. Es quien negocia los parámetros de seguridad y las claves criptográficas (crea el Master Secret). Los parámetros de seguridad negociados son: Protocol version (ej: SSL 3.0, TLS 3.1, etc.). CipherSuite (algoritmo criptográfico, algoritmo clave pública, hash. ). Compression method (ej: none). Se utiliza antes de que la aplicación transmita los datos (obvio).

49 Handshake Protocol (2)

50 Handshake Protocol (3) Servidor Cliente
1. El cliente envía el msj. ClientHello 2. El server hace un ACK con el msj. ServerHello 3. El server envía su certificado 4. El server solicita al cliente su certificado 5. El cliente envía su certificado 6. El cliente envía el msj. ClientKeyExchange 7. El cliente envía el msj. Certificate Verify 8. Ambos envían msjs. ChangeCipherSpec 9. Ambos envían msjs. Finished Server Certificate Clave Privada del Server Clave Pública del Server Digital Sig MasterSecret

51 Handshake Protocol: continuando sesiones
Objetivo: minimizar el número de SSL handshakes: Las operaciones sobre claves privadas son lentas. Los round trips de red son lentos (2 por handshake) Si dos entidades se comunicaron recientemente ya poseen el MasterSecret. Si las dos partes están de acuerdo, el viejo master secret puede reutilizarse (resuming a session). Hack: se agrega estado a un protocolo stateless (http). Se puede hacer el resume aún si la sesión padre sigue activa (se hace el resume de las nuevas conexiones).

52 Debilidades de SSL (1) Cuidado con utilizar criptografía débil! Cuidado con SSL viejo! Recién habilitado en el 2001 en versiones exportables.

53 Debilidades de SSL (2) Problemas con el Certificado
no está firmado por una CA (Certificate Authority) confiable. Certificado expirado. El nombre (DNS) de un sitio coincide con lo que aparece en el certificado. Nombres parecidos ( en vez de ¿qué está mal aquí? <FORM ACTION=“ METHOD=POST>

54 Transport Layer Security (TLS)
Mismo registro de formato (record format) que en SSL. Definido en la RFC 2246. Similar a SSLv3. Diferencias en: número de versión message authentication code (MAC) generación de números (pseudo)aleatorios códigos de alerta paquetes de cifrado tipos de certificado del cliente mensajes certificate_verify y finished cálculos criptográficos relleno pequeñas mejoras después de 2 años de experiencia en el mercado

55 IPv6 vs. SSL

56 Secure Electronic Transactions (SET)
Es una especificación abierta de encripción y seguridad. Creada (1996) para proteger transacciones con tarjeta de crédito sobre la Internet. Compañías involucradas: MasterCard, Visa, IBM, Microsoft, Netscape, RSA, Terisa y Verisign. No es un sistema de pago. Es un conjunto de protocolos y formatos de seguridad que le permiten al usuario utilizar su tarjeta de crédito de forma segura.

57 Servicios Provistos por SET
Brinda un canal de comunicación seguro en una transacción. Provee confianza debido al uso de certificados digitales X.509v3. Asegura privacidad.

58 Puntos Destacables de SET
Confidencialidad de la información La info. de la transacción viaja segura por la red y el número de la tarjeta lo obtendrá únicamente el banco. Usa DES. Integridad de los datos Firma digital (RSA) o SHA-1. Autentificación del poseedor de la tarjeta El vendedor puede verificar que es un número correcto de tarjeta. Autentificación del comerciante El cliente puede verificar que el comerciante tiene una relación válida con la institución financiera.

59 Participantes de SET

60 Secuencia de Eventos para una SET
El cliente abre una cuenta y tarjeta (VISA, MC, etc) en su banco. El cliente recibe un certificado (firmado por el banco). El comerciante tiene sus propios certificados. Uno para firmar, otro para intercambio de claves y el certif. público del gate. El cliente hace un pedido (orden) en la www del comerciante. El cliente verifica la autenticidad del comerciante. La orden y el pago son enviados. El comerciante no puede obtener el número de tarjeta del cliente pero verifica su autenticidad. El comerciante solicita autorización de pago al gw. El comerciante le confirma al cliente su orden. El comerciante envía la orden (mercadería, servicio, etc.). El comerciante solicita el pago al gw.

61 Dual Signature

62 Proceso de Pago (1) El dueño de la tarjeta envía un pedido de compra

63 Proceso de Pago (2) El comerciante verifica el pedido de compra

64 Proceso de Pago (3) Autorización del Pago: Captura del Pago:
Authorization Request Authorization Response Captura del Pago: Capture Request Capture Response

65 Lectura y Web sites recomendados
Drew, G. Using SET for Secure Electronic Commerce. Prentice Hall, 1999 Garfinkel, S., and Spafford, G. Web Security & Commerce. O’Reilly and Associates, 1997 MasterCard SET site Visa Electronic Commerce Site SETCo (documents and glossary of terms) Stallings, W. Network Security Essentials. Capítulo 7. Prentice Hall, 2000.

Descargar ppt "Seguridad en Internet."

Presentaciones similares

SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR

SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR
Dirección IP Las direcciones IP son un número único e irrepetible con el cual se identifica una computadora conectada a una red que corre el protocolo.

Dirección IP Las direcciones IP son un número único e irrepetible con el cual se identifica una computadora conectada a una red que corre el protocolo.
Los números del 0 al cero uno dos tres cuatro cinco 6 7 8

Los números del 0 al cero uno dos tres cuatro cinco 6 7 8
Curso de Java Java – Redes Rogelio Ferreira Escutia.

Curso de Java Java – Redes Rogelio Ferreira Escutia.
1 LA UTILIZACION DE LAS TIC EN LAS MICROEMPRESAS GALLEGAS. AÑO 2005 30 mayo 2005.

1 LA UTILIZACION DE LAS TIC EN LAS MICROEMPRESAS GALLEGAS. AÑO mayo 2005.
1 LA UTILIZACION DE LAS TIC EN LAS PYMES GALLEGAS AÑO 2005 24 de Junio de 2005.

1 LA UTILIZACION DE LAS TIC EN LAS PYMES GALLEGAS AÑO de Junio de 2005.
1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS ( Resumen PYMES ) Noviembre de 2004.

1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS ( Resumen PYMES ) Noviembre de 2004.
AYUDA A LA FUNCIÓN DOCENTE Internet

AYUDA A LA FUNCIÓN DOCENTE Internet
TEMA 2 MÚLTIPLOS Y DIVISORES

TEMA 2 MÚLTIPLOS Y DIVISORES
02- Plan Organización Docente v.2 Noviembre 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.

02- Plan Organización Docente v.2 Noviembre 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.
02- PLAN DOCENTE Febrero 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.

02- PLAN DOCENTE Febrero 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.
01- OFERTA FORMATIVA v.2 Noviembre 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.

01- OFERTA FORMATIVA v.2 Noviembre 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.
Aladdín-respuestas 1.Vivía 2.Era 3.Amaba 4.Quería 5.Gustaban 6.Se sentía 7.Salía 8.Tenía 9.Decidió 10.escapó 11. Se vistió 12. Conoció 13. Vio 14. Pensó

Aladdín-respuestas 1.Vivía 2.Era 3.Amaba 4.Quería 5.Gustaban 6.Se sentía 7.Salía 8.Tenía 9.Decidió 10.escapó 11. Se vistió 12. Conoció 13. Vio 14. Pensó
Respuestas Buscando a Nemo.

Respuestas Buscando a Nemo.
SEGURIDAD EN REDES DE DATOS

SEGURIDAD EN REDES DE DATOS
Jorge de Nova Segundo UD4: Instalación y administración de servicios Web Seguridad del protocolo HTTP.

Jorge de Nova Segundo UD4: Instalación y administración de servicios Web Seguridad del protocolo HTTP.
Mulán /75 puntos. 1.Querían 2.Gustaban 3.Escuchó 4.Dijo 5.Tenía 6.Ayudaron 7.Maquillaron 8.Arreglaron 9.Dio 10.Estaba 11.Iba 12.Quería 13.Salió 14.Gritó

Mulán /75 puntos. 1.Querían 2.Gustaban 3.Escuchó 4.Dijo 5.Tenía 6.Ayudaron 7.Maquillaron 8.Arreglaron 9.Dio 10.Estaba 11.Iba 12.Quería 13.Salió 14.Gritó
C ONFIGURACIÓN C UENTAS D E C ORREO ZTE N281. C ONFIGURACIÓN C UENTAS D E C ORREO ZTE N281 1-Ingrese a menú 2-Ingrese a Mensajes 3-Ingrese a Correo 4-Seleccione.

C ONFIGURACIÓN C UENTAS D E C ORREO ZTE N281. C ONFIGURACIÓN C UENTAS D E C ORREO ZTE N281 1-Ingrese a menú 2-Ingrese a Mensajes 3-Ingrese a Correo 4-Seleccione.
1 Reporte Componente Impacto 6.1.2 Por Orden Territorial - 6.1.2.1 Por Departamento No Disponible ND *Los indicadores para el año 2008 no fueron calculados.

1 Reporte Componente Impacto Por Orden Territorial Por Departamento No Disponible ND *Los indicadores para el año 2008 no fueron calculados.
- Firma digital y cifrado de mensajes.

- Firma digital y cifrado de mensajes.

Presentaciones similares

Anuncios Google