1. Tipos de Configuraciones y protocolos que se utilizan en VPN
1.1. Túneles a nivel de red.
1.2. Túneles a nivel de enlace
1.2.1. El protocolo PPTP
1.2.2. El protocolo L2F.
1.2.3. El protocolo L2TP .
1.3. Túneles a nivel de transporte
2. El protocolo de negociación SSL/TLS . El protocolo de negociación SSL/TLS, tiene por objetivó de autenticar el cliente y/o el servidor, ademas dr acordar los algoritmos y claves que se utilizaran de forma segura, esto para, garantizar la confidencialidad y la integridad de la negociación.
2.1. Orden para comenzar la negociación Petición de saludo
2.2. Saludo de cliente
2.3. Saludo de servidor
2.4. Certificado de servidor
2.5. Petición de certificado
2.6. Fi de saludo de servidor
2.7. Certificado de cliente
2.8. Intercambio de claves de cliente
2.9. Verificación de certificado
2.10. Finalización
2.11. Ataques contra el protocolo SSL/TLS
2.11.1. Lectura de los paquetes enviados por el cliente y servidor
2.11.2. Suplantación de servidor o cliente.
2.11.3. Alteración de los paquetes
2.11.4. Repetición, eliminación o reordenación de paquetes
2.12. Aplicaciones que utilizan SSL/TLS
2.12.1. HTTPS : el protocolo más utilizado actualmente para la navegación web segura.
2.12.2. NNTPS : para el acceso seguro al servicio de News
3. La especificación Transport Layer Security (TLS), La versión 1.0 del protocolo TLS es prácticamente equivalente a SSL 3.0 con algunas diferencias, por lo que en ciertos contextos se considera el TLS 1.0 como si fuera el protocolo “SSL 3.1”.
3.1. Confidencialidad
3.2. Autenticación de entidad.
3.3. Autenticación de mensaje
3.4. Eficiencia
3.5. Extensibilidad.
4. Los agentes que intervienen en la arquitectura IPSec son:
4.1. Los nodos extremos de la comunicación: el origen y el destino final de los datagramas.
4.2. Los nodos intermedios que suporten IPsec, llamados pasarelas seguras, como por ejemplo los encaminadores o cortafuegos con IPsec.
4.2.1. asociación de seguridad (SA).
4.2.1.1. Las SA extremo a extremo: se establecen entre el nodo que origina los datagramas y el nodo al cual van destinados.
4.2.1.2. Las SA con una pasarela segura: al menos uno de los nodos es una pasarela segura (también pueden serlo ambos). Por tanto, los datagramas vienen de otro nodo y/o van hacia otro nodo
4.3. El protocolo AH.
4.4. El protocolo ESP.
4.5. Modos de uso de los protocolos IPsec
4.5.1. En el modo transporte, la cabecera AH o ESP se incluye después de la cabecera IP convencional, como si fuera una cabecera de un protocolo de nivel superior, y a continuación van los datos del datagrama (por ejemplo, un segmento TCP con su cabecera correspondiente, etc.).
4.5.2. En el modo túnel, el datagrama original se encapsula entero, con su cabecera y sus datos, dentro de otro datagrama. Este otro datagrama tendrá una cabecera IP en la cual las direcciones de origen y de destino serán las de los nodos inicio y final de la SA. Por tanto, se dice que entre estos dos nodos hay un “túnel” dentro del cual viajan intactos los datagramas originales. A continuación de la cabecera IP del datagrama “externo” hay la cabecera AH o ESP.
5. metodos de operación al cifrado en bloque.
6. Formas para llevar a cabo un ataque:
6.1. Mediante el criptoanálisis, este consiste en estudiar matemáticamente la forma de deducir el texto en claro a partir del texto cifrado.
6.2. Aplicando la fuerza bruta, es decir, probando uno a uno todos los valores posibles de la clave de descifrado hasta encontrar un texto legible.
7. Proteger las redes de comunicaciones se utiliza la criptografía para evitar que terceros espíen, adulterén o falsifiquen los datos que se comunican.
8. características de los principales sistemas criptográficos utilizados en la protección de las comunicaciones.
8.1. Criptograía de clave simétrica .Los sistemas criptográficos de clave simétrica se caracterizan porque la clave de descifrado x es idéntica a la clave de cifrado k, o bien se puede deducir directamente a partir de ésta.
8.2. Algoritmos de cifrado en flujo El funcionamiento de una cifrado en flujo consiste en la combinación de un texto en claro M con un texto de cifrado S que se obtiene a partir de la clave simétrica k. Para descifrar, sólo se requiere realizar la operación inversa con el texto cifrado y el mismo texto de cifrado S.
8.3. Algoritmos de cifrado en bloque en este algoritmo de cifrado o descifrado se aplica separadamente a bloques de entrada de longitud fija x, y para cada uno de ellos el resultado es un bloque de la misma longitud.
8.3.1. La sustitución consiste en traducir cada grupo de bits de la entrada a otro, de acuerdo con una permutación determinada.
8.3.2. La transposición consiste en reordenar la información del texto en claro según un patrón determinado.
9. Funciones hash seguras
9.1. decir que una función hash nos permite obtener una cadena de bits de longitud fija, relativamente corta, a partir de un mensaje de longitud arbitraria: H = h(M)
9.1.1. Es unidireccional, es decir, si tenemos H =h(M) es computacionalmente inviable encontrar M a partir del resumen H.
9.1.2. Es resistente a colisiones, es decir, dado un mensaje M cualquiera es computacionalmente inviable encontrar un mensaje M0 6= M tal que h(M0) = h(M)
10. Criptografía de claves públicas
10.1. Algoritmos de clave pública
10.1.1. En los algoritmos criptográficos de claves públicas se utilizan claves distintas para el cifrado y el descifrado. Una de ellas, la clave pública, se puede obtener fácilmente a partir de la otra, la clave privada, pero por el contrario es computacionalmente de muy difícil obtención la clave privada a partir de la clave pública.
10.1.2. mecanismos deintercambio de claves
10.1.2.1. Los mecanismos deintercambio de claves permiten que dos partes se pongan de acuerdo en les claves simétricas que utilizaran para comunicar-se, sin que un tercer que esté escuchando el diálogo pueda deducir cuales son estas claves.
10.1.2.2. Una firma digital es básicamente un mensaje cifrado con la clave privada del firmante. Pero, por cuestiones de eficiencia, lo que se cifra no es directamente el mensaje a firmar, sino solamente su resumen calculado con una función hash segura.
10.1.2.2.1. Certificados de clave pública
10.1.2.3. Cadenas de certificados y jerarquías de certificación
10.1.2.4. Listas de revocación de certificados (CRL)
10.1.2.4.1. Una lista de este tipo sirve para publicar los certificados que han CRL CRL es la sigla de Certificate Revocation List. dejado de ser válidos antes de su fecha de caducidad.
10.2. Sistemas de autenticación
10.2.1. La autenticación de mensaje o de origen de datos.
10.2.2. La autenticación de entidad permite confirmar la identidad de un participante X en una comunicación.
10.3. Autenticación de mensaje
10.3.1. Los códigos de autenticación de mensaje o MAC, basados en claves simétricas.
10.3.1.1. Códigos de autenticación de mensaje (MAC) Un código de autenticación de mensaje o MAC se obtiene con un algoritmo a que tiene dos entradas: un mensajeM de longitud arbitraria, y una clave secreta k compartida por el originador y el destinatario del mensaje. Como resultado da un código CMAC = a(k,M) de longitud fija. El algoritmo MAC debe garantizar que sea computacionalmente inviable encontrar un mensaje M0 6= M que de el mismo código que M, y también obtener el código de un mensaje cualquiera sin conocer la clave.
10.3.2. Las firmas digitales, que se basan en la criptografía de clave pública.
10.3.2.1. Firmas digitales
10.3.2.1.1. Autenticación de entidad
10.3.3. Contraseñas
10.3.3.1. Lista de contraseñas en claro
10.3.3.2. Lista de contraseñas codificadas
10.3.3.2.1. Técnicas para dificultar los ataques de diccionario
10.3.3.2.2. Técnicas para dificultar los ataques de diccionario
10.3.3.3. Contraseñas de un solo uso
10.3.3.3.1. Lista de contraseñas compartida: A y B se ponen de acuerdo, de manera segura (es decir, no a través de un canal que pueda ser interceptado), en una lista de N contraseñas. Si se trata de una lista ordenada, cada vez que A se tenga que autenticar utilizará la siguiente contraseña de la lista. Alternativamente, las contraseñas pueden tener asociado un identificador: en cada autenticación B escoge una contraseña de las que aún no se hayan utilizado, envía a A su identificador, y A debe responder con la contraseña correspondiente.
10.3.3.3.2. Contraseñas basadas en una función unidireccional (normalmente una función hash): A escoge un valor secreto x0 y utiliza una función unidireccional h para calcular los siguientes valores: x1 = h(x0) x2 = h(x1) = h2(x0) ... xN = h(xN−1) = hN(x0) y envía el valor xN a B (B debe asegurarse de que ha recibido este valor del usuario A auténtico).
10.3.4. Protocolos de reto-respuesta
10.3.4.1. Secuencialmente: en este caso el reto es simplemente un número que se va incrementando cada vez (lo más normal es incrementarlo de uno en uno), y que por tanto no se repetiré nunca.
10.3.4.2. Aleatoriamente: el reto puede ser generado con un algoritmo pseudoaleatorio, pero la propiedad que tiene en este caso es que no es predecible paralos atacantes
10.3.4.3. Cronológicamente: el reto se obtiene a partir de la fecha y hora actuales (con la precisión que sea adecuada para el protocolo). Este tipo de reto también se llama marca de hora o“timestamp”.
10.3.4.4. Los basados en técnicas simétricas, en las cuales la clave secreta es compartida por el usuario A y el verificador B.
10.3.4.5. Los basados en técnicas de clave pública, en las cuales A utiliza una clave privada para calcular la respuesta.
10.3.4.5.1. Protocolos de reto-respuesta con clave simétrica
10.3.4.5.2. Protocolos de reto-respuesta con clave pública
11. Protección de los nivel de red: IPsec
11.1. nivel de red
11.2. nivel de transporte
11.3. nivel de aplicación
12. arquitectura IPsec añade servicios de seguridad al protocolo IP (v4 y v6), que pueden ser usados por los protocolos de niveles superiores (TCP, UDP, ICMP, etc.
12.1. El protocolo AH ofrece el servicio de autenticación de origen de los datagramas IP (incluyendo la cabecera y los datos de los datagramas).
12.1.1. protocolos para la distribución de claves,
12.1.1.1. ISAKMP (Internet Security Association and Key Management Protocol, RFC 2408)
12.1.1.2. IKE (Internet Key Exchange, RFC 2409)
12.1.1.3. El protocolo de intercambio de claves OAKLEY (RFC 2412)
12.2. El protocolo ESP puede ofrecer el servicio de confidencialidad, el de autenticación de origen de los datos de los datagramas IP (sin incluir la cabecera), o los dos a la vez.
13. Protección del nivel de transporte: SSL/TLS/WTLS
13.1. El protocolo de transporte Secure Sockets Layer (SSL), desarrollado por Netscape Communications. La primera versión de este protocolo ampliamente difundida y implementada fue la 2.0. Poco después Netscape publicó la versión 3.0, con muchos cambios respecto a la anterior, que hoy ya casi no e utiliza
13.2. El protocolo (WTLS), perteneciente a la familia de protocolos WAP para el acceso a la red des de dispositivos móviles. La mayoría de los protocolos WAP son adaptaciones de los ya existentes a las características de las comunicaciones inalámbricas, y en particular el WTLS está basado en el TLS 1.0.
14. Redes privadas virtuales (VPN)
14.1. Definición y tipos de VPN
14.1.1. Las tecnologías de seguridad que permiten la definición de una red privada, es decir, un medio de comunicación confidencial que no puede ser interceptado por usuarios ajenos a la red.
14.1.2. Las tecnologías de encapsulamiento de protocolos que permiten que, en lugar de una conexión física dedicada para la red privada, se pueda utilizar una infraestructura de red pública, como Internet, para definir por encima de ella una red virtual.