1. Redes privadas virtuales (VPN)
1.1. Definición
1.1.1. es una configuración que combina el uso de dos tipos de tecnologías
1.2. Tipos de VPN
1.2.1. VPN entre redes locales o intranets
1.2.1.1. Este es el caso habitual en que una empresa dispone de redes locales en diferentes sedes, geográficamente separadas, en cada una de las cuales hay una red privada o intranet, de acceso restringido
1.2.2. VPN de acceso remoto
1.2.2.1. Cuando un empleado de la empresa quiere acceder a la intranet des de un ordenador remoto, puede establecer una VPN de este tipo entre este ordenador y la intranet de la empresa
1.2.3. VPN extranet
1.2.3.1. A veces, a una empresa le interesa compartir una parte de los recursos de su intranet con determinados usuarios externos, como por ejemplo proveedores o clientes de la empresa
1.3. Configuraciones
1.4. Protocolos utilizados en VPN
1.4.1. Túneles a nivel de red
1.4.1.1. El protocolo utilizado en la gran mayoría de configuraciones VPN es IPsec en modo túnel, generalmente con ESP par cifrar los datos, y opcionalmente con AH para autenticar los paquetes encapsulados.
1.4.2. Túneles a nivel de enlace
1.4.2.1. En el caso de las VPN de acceso remoto o VPDN, existe la posibilidad de encapsular tramas PPP, que son las que transmite normalmente un cliente VPN de este tipo, sobre datagramas IP.
1.4.3. Túneles a nivel de transporte
1.4.3.1. El protocolo SSH (Secure Shell), como veremos en el módulo de aplicaciones seguras, ofrece la posibilidad de redirigir puertos TCP sobre un canal seguro, que podemos considerar como un túnel a nivel de transporte.
2. Protección del nivel de transporte: SSL/TLS/WTLS
2.1. Características del protocolo SSL/TLS
2.1.1. Confidencialidad
2.1.2. Autenticación de entidad
2.1.3. Autenticación de mensaje
2.1.4. Eficiencia
2.1.5. Extensibilidad
2.2. El transporte seguro SSL/TLS
2.2.1. El protocolo de registros SSL/TLS
2.2.1.1. es el que permite que los datos protegidos sean convenientemente codificados por el emisor y interpretados por el receptor. Los parámetros necesarios para la protección, como pueden ser los algoritmos y las claves, se establecen de forma segura al inicio de la conexión mediante el protocolo de negociación SSL/TLS
2.2.2. El protocolo de negociación SSL/TLS
2.2.2.1. tiene por finalidad autenticar el cliente y/o el servidor, y acordar los algoritmos y claves que se utilizaran de forma segura, es decir, garantizando la confidencialidad y la integridad de la negociación.
2.3. Ataques contra el protocolo SSL/TLS
2.3.1. Lectura de los paquetes enviados por el cliente y servidor
2.3.2. Suplantación de servidor o cliente
2.3.3. Alteración de los paquetes.
2.3.4. Repetición, eliminación o reordenación de paquetes
2.4. Aplicaciones que utilizan SSL/TLS
2.4.1. HTTPS
2.4.1.1. el protocolo más utilizado actualmente para la navegación web segura.
2.4.2. NNTPS
2.4.2.1. para el acceso seguro al servicio de News.
3. Conceptos Basicos de Criptografia
3.1. Criptograía de clave simétrica
3.1.1. Algoritmos de cifrado en flujo
3.1.1.1. El funcionamiento de una cifrado en flujo consiste en la combinación de un texto en claro M con un texto de cifrado S que se obtiene a partir de la clave simétrica k.
3.1.2. Algoritmos de cifrado en bloque
3.1.2.1. el algoritmo de cifrado o descifrado se aplica separadamente a bloques de entrada de longitud fija b, y para cada uno de ellos el resultado es un bloque de la misma longitud, Muchos de los algoritmos del cifrado de bloque se basan en la combinación de dos operaciones básicas:
3.1.2.1.1. sustitución
3.1.2.1.2. transposición
3.1.3. Uso de los algoritmos de clave simétrica
3.1.3.1. El modo ECB
3.1.3.1.1. es el más simple, y consiste en dividir el texto en bloques y cifrar cada uno de ellos de forma independiente.
3.1.3.2. El modo CBC
3.1.3.2.1. se suma a cada bloque de texto en claro, antes de cifrarlo, (bit a bit, con XOR) el bloque cifrado anterior.
3.1.3.3. modo CFB
3.1.3.3.1. se puede considerar como un cifrado en flujo que utiliza como función generador un cifrado en bloque.
3.1.3.4. modo OFB
3.1.3.4.1. Opera como el CFB pero en lugar de actualizar el vector auxiliar con el texto cifrado, se actualiza con el resultado obtenido del algoritmo de cifrado.
3.1.3.5. modo CTR
3.1.3.5.1. Es como el OFB, pero el vector auxiliar no se realimenta con el cifrado anterior sino que simplemente es un contador que se va incrementando.
3.1.4. Funciones hash seguras
3.1.4.1. Una función hash nos permite obtener una cadena de bits de longitud fija, relativamente corta, a partir de un mensaje de longitud arbitraria
3.1.4.1.1. unidireccional
3.1.4.1.2. resistente a colisiones
3.2. Criptografía de clave pública
3.2.1. Algoritmos de clave pública
3.2.1.1. Los algoritmos de clave pública típicos permiten cifrar con la clave pública y descifrar con la clave privada
3.2.1.1.1. Intercambio de claves Diffie-Hellman
3.2.1.1.2. RSA
3.2.1.1.3. ElGamal
3.2.1.1.4. DSA
3.2.2. Uso de la criptografía de clave pública
3.2.2.1. firma digital
3.2.2.1.1. es básicamente un mensaje cifrado con la clave privada del firmante.
3.3. Infraestructura de clave pública
3.3.1. Certificados de clave pública
3.3.1.1. Una identificación de usuario como, por ejemplo, su nombre
3.3.1.2. El valor de la clave pública de este usuario
3.3.1.3. La firma de las dos partes anteriores
3.3.2. Cadenas de certificados y jerarquías de certificación
3.3.2.1. se puede establecer una jerarquía de autoridades de certificación, donde las CA de nivel más bajo emiten los certificados de usuario, y las CA de cada nivel son certificadas por una de nivel superior.
3.3.3. Listas de revocación de certificados (CRL)
3.3.3.1. Una lista de este tipo sirve para publicar los certificados que han dejado de ser válidos antes de su fecha de caducidad.
4. Sistemas de autenticación
4.1. Autenticación de mensaje
4.1.1. Códigos de autenticación de mensaje (MAC)
4.1.1.1. Basados en claves simétricas.
4.1.2. Firmas digitales
4.1.2.1. Se basan en la criptografía de clave pública
4.2. Autenticación de entidad
4.2.1. Contraseñas
4.2.1.1. también llamadas técnicas de autenticación débil.
4.2.2. Protocolos de reto-respuesta
4.2.2.1. también llamadas técnicas de autenticación fuerte
4.2.2.1.1. Secuencialmente
4.2.2.1.2. Aleatoriamente
4.2.2.1.3. Cronológicamente
4.2.2.2. basados en técnicas simétricas
4.2.2.2.1. Autenticación con marca de tiempo
4.2.2.2.2. Autenticación con números aleatorios
4.2.2.2.3. Autenticación mutua con números aleatorios
4.2.2.2.4. Autenticación con función unidireccional
4.2.2.3. basados en técnicas de clave pública
4.2.2.3.1. Descifrado del reto
4.2.2.3.2. Firma del reto
5. Protección del nivel de red: IPsec
5.1. La arquitectura IPsec
5.1.1. El protocolo AH
5.1.1.1. ofrece el servicio de autenticación de origen de los datagramas IP
5.1.2. El protocolo ESP
5.1.2.1. puede ofrecer el servicio de confidencialidad, el de autenticación de origen de los datos de los datagramas IP
5.2. Modos de uso de los protocolos IPsec
5.2.1. En el modo transporte
5.2.1.1. la cabecera AH o ESP se incluye después de la cabecera IP convencional, como si fuera una cabecera de un protocolo de nivel superior, y a continuación van los datos del datagrama
5.2.2. En el modo túnel
5.2.2.1. el datagrama original se encapsula entero, con su cabecera y sus datos, dentro de otro datagrama.