1. Sistemas de autenticación
1.1. Tipos de Autentificacion
1.1.1. autenticación de mensaje o autenticación de origen de datos
1.1.1.1. Grupos de Autentificacion de Mensaje
1.1.1.1.1. códigos de autenticación de mensaje o MAC
1.1.1.1.2. firmas digitales
1.1.2. autenticación de entidad
1.1.2.1. técnicas utilizadas para la identificación de un usuario
1.1.2.1.1. Algo que A sabe como, por ejemplo, una contraseña o una clave privada
1.1.2.1.2. Algo que A tiene como, por ejemplo, una tarjeta con banda magnética o con chip.
1.1.2.1.3. Algo que A es o, dicho de otro modo, alguna propiedad inherente a A como, por ejemplo, sus características biométricas.
1.1.2.2. Tecnicas para Autentificacion de Identidad
1.1.2.2.1. Las basadas en contraseñas (o passwords, en inglés), también llamadas técnicas de autenticación débil.
1.1.2.2.2. Las basadas en protocolos de reto-respuesta (challenge-response, en inglés), también llamadas técnicas de autenticación fuerte.
2. La arquitectura IPsec
2.1. Servicios mas utilizados en IPSec
2.1.1. El protocolo AH (Authentication Header, RFC 402)
2.1.2. El protocolo ESP (Encapsulating Security Payload, RFC 2406)
2.2. protocolos para la distribución de claves
2.2.1. ISAKMP (Internet Security Association and Key Management Protocol, RFC 2408)
2.2.2. IKE (Internet Key Exchange, RFC 2409)
2.2.3. El protocolo de intercambio de claves OAKLEY (RFC 2412)
2.3. agentes que intervienen en la arquitectura IPSec
2.3.1. Los nodos extremos de la comunicación: el origen y el destino final de los datagramas.
2.3.2. Los nodos intermedios que suporten IPsec, llamados pasarelas seguras, como por ejemplo los encaminadores o cortafuegos con IPsec.
2.4. Tipos de asociación de seguridad (SA)
2.4.1. Las SA extremo a extremo: se establecen entre el nodo que origina los datagramas y el nodo al cual van destinados.
2.4.2. Las SA con una pasarela segura: al menos uno de los nodos es una pasarela segura (también pueden serlo ambos). Por tanto, los datagramas vienen de otro nodo y/o van hacia otro nodo.
2.5. Modos de uso de los protocolos IPsec
2.5.1. En el modo transporte, la cabecera AH o ESP se incluye después de la cabecera IP convencional, como si fuera una cabecera de un protocolo de nivel superior, y a continuación van los datos del datagrama (por ejemplo, un segmento TCP con su cabecera correspondiente, etc.).
2.5.2. En el modo túnel, el datagrama original se encapsula entero, con su cabecera y sus datos, dentro de otro datagrama. Este otro datagrama tendrá unavccabecera IP en la cual las direcciones de origen y de destino serán las de los nodos inicio y final de la SA. Por tanto, se dice que entre estos dos nodos hay un “túnel” dentro del cual viajan intactos los datagramas originales. A continuación de la cabecera IP del datagrama “externo” hay la cabecera AH o ESP.
3. Protección del nivel de transporte: SSL/TLS/WTLS
3.1. grupo de protocolos
3.1.1. El protocolo de transporte Secure Sockets Layer (SSL)
3.1.2. La especificación Transport Layer Security (TLS)
3.1.3. El protocolo Wireless Transport Layer Security (WTLS)
3.2. Características del protocolo SSL/TLS
3.2.1. servicios de seguridad que proporcionan los protocolos SSL/TLS
3.2.1.1. Confidencialidad
3.2.1.2. Autenticación de entidad
3.2.1.3. Autenticación de mensaje.
3.2.1.4. Eficiencia.
3.2.1.5. Extensibilidad.
3.3. El transporte seguro SSL/TLS
3.3.1. Divisiones encapa de transporte seguro que proporciona SSL/TLS
3.3.1.1. La subcapa superior
3.3.1.2. En la subcapa inferior
3.3.2. El protocolo de registros SSL/TLS
3.3.3. protocolo de negociación SSL/TLS
3.3.3.1. orden en que se tienen que enviar los paquetes de negociacion
3.3.3.1.1. Petición de saludo (Hello Request)
3.3.3.1.2. Saludo de cliente (Client Hello)
3.3.3.1.3. Saludo de servidor (Server Hello)
3.3.3.1.4. Certificado de servidor (Certificate) o intercambio de claves de servidor (Server Key Exchange)
3.3.3.1.5. Petición de certificado (Certificate Request)
3.3.3.1.6. Fi de saludo de servidor (Server Hello Done)
3.3.3.1.7. Certificado de cliente (Certificate)
3.3.3.1.8. Intercambio de claves de cliente (Client Key Exchange)
3.3.3.1.9. Verificación de certificado (Certificate Verify)
3.3.3.1.10. Finalización (Finished)
3.4. Ataques contra el protocolo SSL/TLS
3.4.1. Lectura de los paquetes enviados por el cliente y servidor
3.4.2. Suplantación de servidor o cliente.
3.4.3. Alteración de los paquetes.
3.4.4. Repetición, eliminación o reordenación de paquetes.
3.5. Aplicaciones que utilizan SSL/TLS
3.5.1. HTTPS (HTTP sobre SSL/TLS)
3.5.2. NNTPS (NNTP sobre SSL)
3.5.3. TELNET, usando la opción de autenticación (RFC 1416).
3.5.4. FTP, usando las extensiones de seguridad (RFC 2228).
3.5.5. SMTP, usando sus extensiones para SSL/TLS (RFC 2487).
3.5.6. POP3 y IMAP, también usando comandos específicos para SSL/TLS (RFC 2595).
4. Redes privadas virtuales (VPN)
4.1. Tipos de VPN
4.1.1. VPN entre redes locales o intranets
4.1.2. VPN de acceso remoto.
4.1.3. VPN extranet.
4.2. Configuraciones y protocolos utilizados en VPN
4.2.1. Protocolos según el nivel de comunicacion para establecer los túneles
4.2.1.1. Túneles a nivel de red.
4.2.1.2. Túneles a nivel de enlace.
4.2.1.2.1. protocolo PPTP (Point-to-Point Tunneling Protocol, RFC 2637)
4.2.1.2.2. protocolo L2F (Layer Two Forwarding, RFC 2637)
4.2.1.2.3. El protocolo L2TP (Layer Two Tunneling Protocol, RFC 2661)
4.2.1.3. Túneles a nivel de transporte.
4.2.1.3.1. El protocolo SSH (Secure Shell)
5. criptografía
5.1. Criptograía de clave simétrica
5.1.1. principales algoritmos criptográficos de clave simétrica
5.1.1.1. Algoritmos de cifrado en flujo
5.1.1.1.1. RC4 (Ron’s Code 4).
5.1.1.2. Algoritmos de cifrado en bloque
5.1.1.2.1. Operaciones Basicas
5.1.1.2.2. Ejemplos de Algoritmos
5.1.1.3. Usos de Algoritmos de Claves Simetricas
5.1.1.3.1. El modo ECB (Electronic Codebook) es el más simple, y consiste en dividir el texto en bloques y cifrar cada uno de ellos de forma independiente. Este modo parte del problema de dar bloques iguales cuando en la entrada Modo ECB existen bloques iguales.
5.1.1.3.2. En el modo CBC (Cipher Block Chaining), se suma a cada bloque de texto en claro, antes de cifrarlo, (bit a bit, con XOR) el bloque cifrado anterior. Al primer bloque se le suma un vector de inicialización (VI), que es un conjunto de bits aleatorios de la misma longitud que un bloque. Escogiendo vectores distintos cada vez, aun que el texto en claro sea el mismo, los datos cifrados serán distintos. El receptor debe conocer el valor del vector antes de empezar a descifrar, pero es necesario falta guardar este valor en secreto, sino que normalmente se transmite como cabecera del texto cifrado.
5.1.1.3.3. En el modo CFB (Cipher Feedback), el algoritmo de cifrado no se aplica directamente al texto en claro sino a un vector auxiliar (inicialmente igual al VI). Del resultado del cifrado se toman n bits que se suman a n bits del texto en claro para obtener n bits de texto cifrado. Estos bits cifrados se utilizan también para actualizar el vector auxiliar. El número n de bits generados en cada iteración puede ser menor o igual que la longitud de bloque b. Tomando como ejemplo n = 8, tenemos un cifrado que genera un byte cada vez sin que sea necesario esperar a tener un bloque entero para poderlo descifrar.
5.1.1.3.4. El modo OFB (Output Feedback) opera como el CFB pero en lugar de actualizar el vector auxiliar con el texto cifrado, se actualiza con el resultado obtenido del algoritmo de cifrado. La propiedad que distingue este modo de los demás consiste en que un error en la recuperación de un bit cifrado afecta solamente al descifrado de este bit.
5.1.1.3.5. A partir de los modos anteriores se pueden definir varias variantes. Por ejemplo, el modo CTR (Counter) es como el OFB, pero el vector auxiliar no se realimenta con el cifrado anterior sino que simplemente es un contador que se va incrementando.
5.1.1.4. Funciones hash seguras
5.1.1.4.1. Requisitos para que sea una Funcion Segura
5.1.1.4.2. Ejemplos de Funciones Hash Seguras
5.2. Criptografía de clave pública
5.2.1. Ejemplos de Algoritmos de Claves publicas o asimetricas
5.2.1.1. Intercambio de claves Diffie-Hellman
5.2.1.2. RSA
5.2.1.3. ElGamal.
5.2.1.4. DSA (Digital Signature Algorithm).
5.2.2. Uso de la criptografía de clave pública
5.2.2.1. Autentificacion
5.2.2.2. Intercambios de claves
5.2.2.3. Firma digital
5.2.3. Infraestructura de clave pública (PKI)
5.2.3.1. Certificados de clave pública
5.2.3.1.1. certificado X.509 composision
5.2.3.1.2. Partes de un certificado de clave publica
5.2.3.2. Cadenas de certificados y jerarquías de certificación
5.2.3.3. Listas de revocación de certificados (CRL)
5.2.3.3.1. sirve para publicar los certificados que han dejado de ser válidos antes de su fecha de caducidad