Unidad 2 Seguridad 2019 02
Unidad 2 Seguridad 2019 02
Unidad 2 Seguridad 2019 02
Programa de la asignatura:
Redes convergentes
Unidad 2. Seguridad
Clave:
21144844
Presentación de la unidad
El objetivo principal de la seguridad en redes es poder garantizar el funcionamiento de los nodos que
integran la red, tanto física como lógicamente. Este objetivo se cumple con el diseño, la planeación y
los recursos que se tengan para conseguirlo. Si bien es cierto que todas las redes son diferentes,
comparten principios básicos en cuanto a la seguridad, los cuales, si son bien aplicados, permiten
presentar un buen proyecto de convergencia para poder administrar de manera eficaz una red, sin
importar su tamaño.
Aunque el término seguridad puede sonar ambiguo, se utiliza más en el sentido de minimización de los
posibles riesgos, minimización a cero de todos los posibles ataques a una red y, lo más importante,
que es evitación de fuga de información. La pérdida de equipo puede ser costosa y generar gastos no
contemplados, lo peor es la perdida de información. De igual forma, si se cuenta con herramientas que
hacen posible la recuperación de datos, se implica la inclusión de un gasto no contemplado; el costo
de recuperación de datos es caro y aun así no garantiza la recuperación total de datos.
Para poder evitar este tipo de situaciones es importante tener bien definido el alcance de la red que se
esté diseñando o que se pida administrar. Cada uno de los elementos es importante, tanto en un nivel
físico (especificaciones técnicas de equipos, material utilizado, estándares definidos para cada tipo de
red), como en un nivel lógico (topología, software, protocolos).
Esta manera de proteger la información no es nueva, se tiene conocimiento de que las antiguas
civilizaciones la empleaban. En la actualidad se usa inconscientemente, por ejemplo, al escribir una
carta o recibir en un sobre, se sabe que sólo el destinatario o el emisor pueden interpretar el mensaje;
en medios electrónicos hay varios ejemplos, como el correo electrónico, aunque no hay un sobre
físico, se sabe a quién enviarlo o de quién recibirlo; otro ejemplo sería cuando se realiza una comprar
por Internet, en la cual se pide información muy precisa, como nombre completo, número de tarjeta,
número de seguridad etc. Ante el crecimiento de la convergencia en la red surge la siguiente pregunta:
¿cómo evitar que la información se haga pública?
A lo largo de la unidad se presentan nombres que hacen referencia a marcas registradas, como
Facebook, Mozilla, Symantec, Cisco, las cuales pertenecen a sus respectivos dueños y únicamente se
emplean como ejemplos y con fines educativos.
2
¿Cómo evitar que nuestra información sea robada y nuestros datos sean utilizados maliciosamente?. Tomadas,
según el orden de aparición, de http://ocw.uoc.edu/informatica-tecnologia-i-multimedia/aspectes-avancats-de-seguretat-en-
xarxes/aspectes-avancats-de-seguretat-en-xarxes/M2007.jpga y
http://1.bp.blogspot.com/_ksHyuNGFEy0/TGwCs7nrrHI/AAAAAAAAAgk/azC5uai6bd0/s1600/SEGURIDAD.png.
En esta unidad se analizarán los principios de encriptación y cómo funciona en las actividades
cotidianas. Se estudiará cómo ingresar a una cuenta de correo, a las redes sociales y cómo enviar un
mensaje dentro de las capas superiores de red.
En las tareas como profesional, el (la) estudiante establecerá las herramientas disponibles para
implementar los mecanismos adecuados, hará recomendaciones para dar un mejor servicio. Realizará
estos mecanismos y recomendaciones por medio de protocolos de seguridad, encriptación y
conocimientos de hardware, entre otros factores, según el contexto en el que se encuentre.
3
Propósitos
Competencia específica
4
2.1 Seguridad en capas superiores
El manejo de las capas superiores del modelo OSI permite implementar la seguridad, ya que se
pueden manipular los protocolos y servicios (HTTP, DNS, SMB, DHCP, STMP/POP y Telnet) de
acuerdo con las necesidades de cada institución. Es por ello que algunos programas requieren la
ayuda de la capa de aplicación y usan recursos de la red para transferirlos; no importa si es voz, video
o datos.
Funcionan utilizando la misma clave para cifrar y descifrar un documento. Esto parece muy sencillo y
seguro, pero no es así, porque tiene un problema de seguridad. Éste reside en el intercambio de
claves entre el emisor y receptor, que deben tener la misma clave, es decir, tanto emisor como
receptor tienen que saber la misma clave o contraseña. En la práctica, es muy arriesgado, ya que “n”
número de personas, al saber la misma clave, podría hacer mal uso de la información. Al no tener un
control sobre los sujetos que manejan información importante, se puede dar fuga de información. Si
por alguna razón se decide usar este tipo de cifrado, se debe escoger una clave con un estándar alto
en seguridad, así como un mismo canal de comunicación seguro para el intercambio de la clave.
5
Encriptación simétrica. Tomada de http://2.bp.blogspot.com/-gOA5-
rVvTg0/UoZevq3MKjI/AAAAAAAACr0/mdFF1yHhyu8/s1600/clave-simetrica.png.
Su principal desventaja es la facilidad de acceso: al ser una clave pública es fácil acceder a ella.
También conocidos como sistemas de clave pública. Este sistema es más complicado de resolver, ya
que utiliza dos claves: una secreta conocida únicamente por su propietario y una pública, distribuida
por el propietario en la red. Imagínese lo siguiente, tenemos que compartir un archivo cifrado con tres
compañeros(as) de trabajo; para que lo puedan ver, se necesitan dos cosas: uno, enviarle la clave
pública, la cual está vinculada con la privada, y dos, ellos, al tener la clave pública, pueden descifrar
con la clave privada, ya que ambas van de la mano.
Se podría pensar que al saber la clave pública sería fácil saber la privada, pero no es así. Esto se debe
a que este tipo de sistemas utiliza algoritmos muy complejos, porque se generan a través de tres
pasos: contraseña, clave pública y clave privada.
Uno de los propósitos de este sistema es poder hacer más complejo el robo de información, de
identidad, etc.
Su uso puede verse en la firma de documentos electrónicos, certificando con una clave pública que es
X persona y firmando con una clave privada.
Desventajas
Lentitud al realizar el proceso de cifrado.
Híbrida
Esta es la unión de las dos anteriores. Toman las fortalezas de ambas: funciona mediante el cifrado de
la clave pública para compartir la clave para el cifrado simétrico; cuando se envía un mensaje, la clave
simétrica utilizada es diferente, así, si hubiera un atacante, sólo podría utilizar una parte de la
información. La clave simétrica es cifrada como pública y el mensaje es cifrado con la clave simétrica,
unido en un sólo paquete. El receptor usa su clave privada para poder descifrar el mensaje.
6
En resumen, se enlista de la siguiente manera:
SRTP (Secure Real Time Protocol) es un protocolo que define varios puntos, tales como cifrado,
autentificación de mensaje y su integridad. Actualmente una de las grandes preocupaciones de los
usuarios es la privacidad de sus llamadas telefónicas, ámbito en el que este protocolo tiene su uso en
los Softphone (Linphone o CSipSimple) y en los servidores Asterisk. Es importante mencionar que
para que este último servicio se implemente, se debe de complementar con el uso de SIP (Protocolo
de Inicio de Sesiones). Normalmente se puede ingresar en este servicio por medio de la red GSM
(Protocolo de Inicio de Sesiones) o 3G, siempre y cuando se cuente con un suficiente ancho de banda
y una red WiFi.
Este protocolo es un complemento de RTP (Real Time Protocol) que integra confidencialidad,
integridad y autentificación de los datos (voz, video, mensajes). Todo esto es integrado en tiempo real
utilizando políticas como QoS, a través de los paquetes que circulan en la red.
Flujo de datos
Para el encriptado y desencriptado del flujo de datos, SRTP junto con SRTCP usa el código AES.
Ambos definen qué le permitirá al principal código AES ser usado como transmisor.
7
Modo f8
Una variación del modelo de salida es mejorada para poder ser reubicada con una función de
inicialización alterada. Por defecto, los valores de encriptación y de salt key son las mismas de AES en
el modo de contador. El modelo de AES ha sido escogido para ser usado en las redes móviles 3G.
Además de AES, SRTO permite la habilidad de deshabilitar la encriptación, usando el llamado NULL
código, el cual es asumido como un segundo código de soporte; de hecho, el NULL código no realiza
ninguna encriptación. Es obligatorio para este modelo ser implementado en cualquier sistema
compatible con SRTP. Como tal, puede ser utilizado cuando no se requieren las garantías de
confidencialidad garantizada por SRTP, mientras que otras características SRTP (como la
autenticación y la integridad del mensaje) pueden ser utilizadas.
Aunque técnicamente SRTP puede acomodar fácilmente nuevos algoritmos de cifrado, los estados
estándar SRTP de los nuevos algoritmos de cifrado, además de los descritos, no pueden ser
simplemente añadidos en alguna aplicación del protocolo SRTP. La única manera legal de añadir un
nuevo algoritmo de cifrado, sin dejar de afirmar la compatibilidad con el estándar SRTP, es la
publicación de un nuevo compañero RFC vía estándar que defina claramente el nuevo algoritmo.
Derivación de clave
Una función de derivación de claves se utiliza para obtener las diferentes claves usadas en un
contexto de una llave maestra única de manera segura mediante el cifrado. Por lo tanto, el protocolo
de gestión de claves tiene que intercambiar una sola llave maestra; todas las claves de sesión que son
necesarias son generadas por la aplicación y la derivación de claves.
8
SRTP se basa en un protocolo de gestión de claves externa para configurar la clave maestra inicial.
Dos protocolos específicamente diseñados para ser utilizados con SRTP son ZRTP y Mikey.
ZRTP
Es un protocolo de acuerdo con una clave criptográfica que negocia las claves de cifrado entre dos
nodos finales a una voz, esto es sobre VOiP de llamadas de telefonía en tiempo real. Utiliza el
protocolo Diffie-Hellman en el intercambio de claves y el seguro en tiempo real del protocolo de
transporte (SRTP) para el cifrado. ZRTP fue desarrollado por Phil Zimmerman con la ayuda de Bryce
Wilcox-O'Hearn, Colin Plumb, Jon Callas y Alan Johnston. Se presentó a la Internet Engineering Task
Force (IETF) de Phil Zimmermann, Jon Callas y Alan Johnston el 5 de marzo, 2006 y publicado el 11
de abril de 2011 como RFC 6189.
Esto genera un secreto compartido que después se utiliza para generar claves. Una de las
características del ZRTP es que no se basa en la señalización SIP para la gestión de claves o en otro
servicio, tampoco requiere secretos compartidos anteriormente o que se basen en una clave pública o
en claves de autentificación. De hecho, Diffie-Hellman genera las claves de forma efímera en el inicio
de sesión, es por eso que es compleja la creación y mantenimiento de una tercera parte de confianza,
ya que puede ser burlada.
9
Las claves contribuyen a la generación de las sesiones secretas, de las cuales derivan la clave de
sesión y los parámetros de sesión SRTP. Todo esto, junto con las claves compartidas (si las hubiera),
la protege contra los ataques conocidos como Hombre en medio (MITM).
ZRTP puede ser utilizado con cualquier protocolo de señalización, incluyendo SIP y es independiente
de la capa de señalización.
ZRTP proporciona una segunda capa de autenticación contra un ataque MITM, sobre la base de una
forma de continuidad clave. Esto se logra mediante el almacenamiento en caché de cierta información
clave hash para el uso en la próxima comunicación, que se mezcla con DH de la próxima
comunicación de secreto compartido. Así se obtienen propiedades de continuidad de clave análogas a
SSH. Si el MITM no está presente en la primera llamada, se cierra la puerta de las llamadas
posteriores. Por lo tanto, incluso si el SAS nunca se utiliza, la mayoría de los ataques MITM se
detienen debido a que éste no estaba presente en la primera llamada.
10
Java
SSL (Secure Socket Layers). Capa de zócalo seguro o capas de conexiones seguras. Es un protocolo
criptográfico que usa certificados digitales para establecer conexiones seguras. Es utilizado en el
intercambio de información, en gran medida en el cifrado de conexiones a Internet. Esto se puede ver
muy a menudo cuando se ingresa en sitios web bancarios y sitios donde se realizan transacciones
comerciales como Amazon, iTunes, etc., donde se piden datos confidenciales.
11
También existe: TLS (Transport Layer Scurity) transporte de capa seguro que, junto con SSL,
proporciona cifrado de datos y autenticación entre aplicaciones y servidores.
Un ejemplo muy común para este tipo de seguridad, es cuando se intenta entrar a la propia cuenta de
Facebook: en la barra de navegador se visualiza algo como: https://facebook.com. Si se observa con
cuidado, se puede ver un pequeño candado, el cual indica que el protocolo SSL/TLS ha hecho su
trabajo correctamente, es decir, está protegiendo la información del usuario.
Obsérvese el siguiente ejemplo de cómo avisa el sitio, al cual se trata de acceder, que no es un sitio
seguro. Léase cuidadosamente la información.
12
Certificado de seguridad https
Ahora se verá cómo hace su función de manera normal y cómo realiza el proceso de seguridad una
página de Facebook.
13
Ejemplo de certificación de seguridad en Facebook. Tomada de
http://revista.seguridad.unam.mx/sites/revista.seguridad.unam.mx/files/images/CIFRADO_2.JPG.
2. Después de que el navegador realiza una petición al sitio seguro de Facebook, éste indica
que se puede realizar una conexión segura. Con base en esto, el servidor de Facebook
responde con la información SSL/TLS para establecer la conexión segura.
Dependiendo del navegador que se use, es diferente la manera de acceder en este apartado. En este
caso, se está ejemplificando Mozilla.
14
Administrador de certificados
Al llegar aquí, se puede ver si el protocolo SSL/TLS está haciendo su trabajo de manera eficiente. Es
importante tener presente que, como cualquier tecnología, ésta puede tener fallas; por lo que se
deben tener ciertas precauciones:
Si se va a usar un servicio de banca electrónica, se recomienda no hacerlo en sitios donde se
comparten los equipos de cómputo, tales como cibercafés.
Tener un antivirus actualizado, así como los parches de seguridad que pudieran ofrecer el
soporte técnico del sistema operativo.
Tener actualizado el navegador, es decir, poseer su versión más reciente. Usualmente, cuando
se libera una nueva versión del navegador que se utiliza con regularidad, llega una invitación
para realizar la actualización.
Verificar la vigencia del certificado cuando se utilice HTTPS. Esto se realiza dando doble clic o
clic con botón derecho (dependiendo del navegador que se use y de la fecha del sistema, un
error común, si la pila está descargada), sobre el candado que aparece antes de https://.
15
Ejemplo de Firefox
Casos de estudio
MITB
“Symantec alertó de un troyano bancario, capaz de tomar las conexiones SSL entre los
navegadores y sitios bancarios, este tipo de ataques se han dado desde 2003. Como mucha
gente realiza transacciones bancarias en línea, este se ha convertido en un centro de ataque
que los criminales buscan explotar.
Muchos de los troyanos más sofisticados utilizan un método llamado Man in the browser –
MITB- . Esto lo realiza de una manera muy simple: monitorea e intercepta las actividades que
el usuario realiza en el navegador, sitios que visita frecuentemente, patrones de
comportamiento, búsquedas, etc., en tiempo real para después modificar el contenido HTML.
Entonces muestra información falsa al usuario o manipula los detalles de la transacción
enviada por el usuario al banco.
Una característica interesante de este tipo de ataque es que el troyano ataca las conexiones
SSL/TLS entre el navegador y el servidor. Mientras están siendo establecidas, el troyano se
inserta entre el navegador y el servidor del banco, formado un servido proxy. En el lado del
16
banco proxy, el troyano utiliza los detalles conseguidos del banco para encriptar la información.
Del lado del navegador, el troyano inserta su propia firma, neutralizando la firma original. El
usuario pude pensar que está en un sitio autentico ya que ve “HTTPS”, así que cuando el
usuario envía la información, esta es interceptada por el troyano para ser decodificada.”
Fuentes
Symantec (2011). Banking by proxy with Trojan. Tatanarg. Recuperado de
http://www.symantec.com/connect/blogs/banking-proxy-trojantatanarg.
Softpedia (2011). Troyano bancario secuestra conexiones SSL. Seguridad. Recuperado de
http://www.seguridad.unam.mx/noticias/?noti=4419
--------------------------------------------------------------
Vulnerabilidad Heartbleed. Agujero en sitios operados con tecnología SSL cuestiona la
seguridad de Internet
Abstract. “La denominada «vulnerabilidad Heartbleed» de la tecnología SSL está generando gran
confusión en todo el mundo. Trend Micro explica en qué consiste la vulnerabilidad y cómo afecta a la
población, además de ofrecer respuestas a las preguntas más frecuentes que surgen en torno a este
problema.”
Fuentes
Diarioti (2014). Agujero en sitios operados con tecnología SSL cuestiona la seguridad de Internet.
Recuperado de http://www.itnoticias.com/tecnologia/agujero-en-sitios-operados-con-tecnologia-
ssl-cuestiona-la-seguridad-de-internet_74563.html. [Noticia completa: http://diarioti.com/agujero-
en-sitios-operados-con-tecnologia-ssl-cuestiona-la-seguridad-de-internet/77116.]
Symantec (2014). Alerta de falla de seguridad de DigiNotar. Recuperado de
http://www.verisign.com/latinamerica/esp/diginotar-breach-alert/?print.
17
2.1.3 Protocolo Diffie-Hellman
Hasta este momento se han visto conceptos de encriptación que han permito conocer las normas de
seguridad o los procesos que los protocolos realizan para asegurar la protección de la información. En
este apartado se verá otro protocolo, conocido como Diffie-Hellman.
En muchos protocolos criptográficos, se tienen dos partes que quieren establecer una comunicación
constante. Se asume que ninguno de los dos posee una llave secreta y por lo tanto no pueden utilizar
un sistema criptográfico de clave secreta. Este protocolo es llamado así por Whitfield Diffie y Martin
Hellman. Como se estudiará, es un protocolo donde ambas partes no han tenido un contacto previo y
se utiliza un canal inseguro de manera anónima (no autentificada).
Esto es muy común para acordar claves simétricas que van a ser empleadas en el cifrado de una
sesión (clave de sesión). Como no es autentificado, provee las bases para diversos protocolos
autenticados.
Tipos de ataques:
Ataques pasivos: un usuario (atacante) podría suponer el secreto compartido si también
poseyera uno de los valores privados (a o b) para obtener a o b a partir A o B, invirtiendo la
función (a = log discp (A) y b = log discp(B)). El problema es el logaritmo, que se cree intratable
computacionalmente.
Ataques activos: este protocolo es sensible a ataques del tipo Man in the Middle: puede ser
interceptada por un tercero. Esto se realiza haciéndose pasar por el emisor cara al destinatario
y viceversa, ya que no dispone de ningún mecanismo para hacer válida la identidad de los
participantes de la comunicación. Así, el hombre en medio (man in the middle) puede acordar
una clave entre los participantes y poder escuchar, manipular las claves, datos, etc. Para que
esto siga funcionando, el intruso tiene que seguir en medio con el fin de seguir interceptando
cuidando no ser descubierto. Mírese el siguiente ejemplo:
18
¿Cómo el protocolo Diffie-Hellman evita el ataque Man in the Middle?
Controla los tiempos de ingreso de cada usuario.
Realiza la autenticación por partes, es decir, aplica un protocolo subyacente que ayuda en la
autenticación, por ejemplo, TLS.
Autentifica el contenido.
19
Acerca de algoritmos
Como menciona Campos (2011), “Los valores de «p» y «g» son públicos y cualquier atacante puede
conocerlos, pero esto no supone una vulnerabilidad. Aunque un atacante conociera dichos valores y
capturara los dos mensajes enviados entre las máquinas A y B, no sería capaz de averiguar la clave
secreta. A continuación se muestra la información capturada por un atacante en el escenario de la figura
anterior.
A partir de las ecuaciones anteriores, intentar calcular los valores de «a» y «b» es lo que se conoce como
el problema del algoritmo discreto, un problema que se cree computacionalmente intratable y cuya
notación es la siguiente:
a
a = log discg (g mod p) = log disc 5 (8)
b
b = log discg (g mod p) = log disc 5
(19)
Con los valores del ejemplo sí es posible encontrar la solución, ya que se ha escogido un número primo «p»
muy pequeño (p= 23), y se sabe que «a» y «b» son menores que «p». Por lo tanto, para obtener los valores
secretos en este ejemplo, un atacante tendría que probar sólo 22 posibles valores.
Por suerte, las implementaciones actuales del protocolo Diffie-Hellman utilizan números primos muy grandes,
lo que impide a un atacante calcular los valores de «a» y «b». El valor «g» no necesita ser grande, y en la
práctica su valor es 2 o 5. En el RFC 3526 aparecen publicados los números primos que deben utilizarse. A
modo de ejemplo, se facilita aquí el número primo de 1024 bytes propuesto. El valor «g» utilizado es 2:
20
2.2. Seguridad en la capa de red
Varios protocolos trabajan en la seguridad, cada uno de ellos cubre una parte importante del proceso
de seguridad. Esto se hace a través de las capas del modelo OSI, por lo que se habla de una pila de
protocolos:
Aplicación
Presentación
Sesión
Transporte
Red
Enlace de datos
Físico
En este apartado, se enfoca la capa de red, cuya tarea principal consiste en el enrutamiento y la
conmutación de paquetes.
Dentro de la pila de protocolos existen dos niveles bien marcados, en el nivel de transporte, éstos
miran hacia la red, por lo tanto, todas las actividades que se desarrollan tienen una relación profunda
en el canal de comunicaciones; es decir, por los nodos que pasan la información. Dentro de esta
división se encuentran los protocolos IP (red) y los UDP y TCP (transporte), sobre éstos recae la
responsabilidad de hacer que llegue la información en la red.
Como se has estudiado, existen diversas formas de ataques a una red, por lo que es muy importante
analizar los riesgos de cada servicio a utilizar o proporcionar. Conociendo esto, es posible determinar
los objetivos claros de seguridad, que se pueden dividir en dos tipos:
21
1. Ataques pasivos: el autor vigila el tráfico de la red para intentar conocer puntos
vulnerables. Se basan en el rastreo de comunicaciones o en el sistema.
2. Ataques activos: se intenta explotar orificios de seguridad, existen varios tipos:
Intentos de acceso al sistema
Ataques de usurpación
Negativa de servicio
Ataques criptográficos
Ante los riesgos potenciales, se deben tomar diversas medidas de seguridad en varios niveles de
las capas correspondientes:
Seguridad a nivel del sistema
Seguridad a nivel de red
Seguridad a nivel aplicaciones
Seguridad a nivel de transmisión
A este principio se le conoce como encapsular un protocolo de red sobre otro, creando un túnel sobre
el cual se compartirá información dentro de una red de computadoras. Su uso persigue diferentes
objetivos, tales como: seguridad, rapidez, ahorro de recursos, etc. Esta técnica, también llamada
tunelizar, se utiliza para transportar un protocolo en específico que una red normal no permitiría. Se
utiliza también para crear redes privadas virtuales.
22
Protocolos
Cuando se utiliza este método, se incluye un PDU (unidades de datos de protocolo) dentro de otra
PDU, para transmitir de un punto a otro.
Las PDU (unidades de datos de protocolo) son utilizadas para el intercambio de información, dentro de
las capas del modelo OSI. Existen dos clases:
PDU de datos, que contiene los datos del usuario principal o de nivel inferior inmediato.
PDU de control, que tiene la función de controlar el comportamiento en sus funciones de
establecimiento, conexión, control del flujo, control de errores.
La utilización de esta técnica permite la creación de diferentes redes virtuales, facilitando así el
aprovechamiento de los recursos tecnológicos. Cabe destacar que existen varios protocolos que
permiten el uso de la técnica de túnel, como los siguientes:
L2TP (Layer 2 Tunneling Protocol)
MPLS (Multiprotocol Label Switching)
GRE (Generic Routing Encapsulation)
PPTP (Point to point tunnel protocol)
PPoE (Point to point over Ethernet)
PPoA (Point to point over ATM)
IPSec (Internet Protocol Security)
TLS (Transport Layer Security)
SSH (Secure Shell)
El protocolo SSH es utilizado con frecuencia para hacer túnel confiable sobre la red de Internet de una
manera segura. Utiliza un canal “propio”, sobre uno público (Internet).
23
SSH. Tomada de http://www.ehu.es/ehusfera/ghym/files/2010/10/ssh-rsa.png.
2.2.3 VPN
¿Qué es una VPN? Es una Red Privada Virtual VPN (sigla de inglés Virtual Private Network), como
una tecnología de red que permite crear redes privadas a través de una red pública o no segura, tal
como Internet o dentro de una red interna como una intranet. Les da a los usuarios privilegios y nivel
de acceso como si estuviesen físicamente en el mismo lugar.
Este tipo de tecnologías es muy común en las organizaciones de gran tamaño, pues, por el constante
movimiento de los usuarios, es necesario acceder a recurso. Es entonces cuando se necesita habilitar
la VPN para que el usuario pueda acceder a sus recursos.
Esto se realiza a través de la creación de un túnel que traza el camino entre el usuario y sus recursos.
También a esta técnica se le llama tunneling.
24
VPN. Tomada de http://www.telypc.com/images/vpn_image.gif
Se ha explicado que es posible establecer un túnel de comunicación a través de una red como
Internet, VPN e IPSec, porque es una red de datos para compartir información. IPSec (Internet
25
Protocol security) es un conjunto de protocolos que asegura la transmisión de datos sobre el protocolo
de Internet (IP), autentificando y cifrando cada paquete de datos de IP en el flujo de datos. Estos
proveen seguridad de red por cifrado y la autentificación de todos los paquetes. Se encuentra definido
en la RFC 4303.
Los protocolos de IPSec se encuentran en la capa de red del modelo OSI. En el inicio, fue desarrollado
para usarse con el estándar IPv6 (aquí es obligatorio), aunque con el tiempo se adaptó al IPv4 (donde es
opcional). Por el hecho de que ofrece servicios robustos, es utilizado para la creación de las VPN.
Características principales:
Red privada virtual
Integración con las medidas de seguridad, como los cortafuegos
Acceso a servicios de comunicaciones privados
Posibilidad de establecer medidas de protección personalizadas
¿Cómo funciona?
Este protocolo actúa sobre la capa de red, a diferencia de otros protocolos como SSL, TSL y SSH, que
trabajan en la capa de transporte. Esto permite que IPSec pueda ser usado para proteger los
protocolos de la capa 4 (transporte), incluyendo TCP y UDP.
Está implementado por protocolos criptográficos que aseguran el correcto flujo de paquetes,
garantizan la autentificación entre los participantes de la comunicación y establecen los parámetros
criptográficos.
El IPSec fue diseñado para proporcionar seguridad en el transporte en el tráfico de los paquetes de
información. En ellos, los ordenadores que se encuentran en los extremos realizan todo el proceso de
Seguridad, si lo utilizan en el modo túnel, la seguridad es proporcionada a varias máquinas, pero desde
una sola de ellas.
26
El VPN IPSec utiliza dos protocolos que fueron desarrollados para aumentar la seguridad en el nivel de
paquete, tanto para IPv4 e IPv6:
Autentication Header (AH). Proporciona integridad y autentificación sin rechazo. Lo hace
calculando un HASH MESSAGE AUTHENTICATION CODE (HMAC) a través de un algoritmo
HASH que opera sobre una clave encriptada, el contenido del paquete IP y las partes del
datagrama. Algo interesante de este protocolo es que puede protegerse de los ataques de
repetición, utilizando una técnica de ventana deslizante y quitando los paquetes viejos. Una
cabecera cuenta con 32 bits.
- Next header Es un campo de ocho bits que define el tipo de datos escogidos del
protocolo IP.
- Payload Lenght. Es un campo de ocho bits. Especifica el tamaño de AH Reserved que
se reserva para usos futuros.
- Security Parameter Index. Contiene un número de 32 bits, asignado arbitrariamente
que, con la dirección IP y AH, identifica el Security Association.
- Secuence Number Filed. Contiene el número de secuencia del paquete, el cual
aumenta constantemente con el envío de ellos. El emisor lo coloca aun cuando el
receptor no ha activado la opción de protección antirréplicas.
Authentication Data. Su tamaño es variable, ya que contiene el valor de chequeo de integridad. Su
tamaño es un múltiplo exacto de 32 bits en IPv4 y 64 bits en IPv6 seguridad; si lo utilizan en el modo
túnel, la seguridad es proporcionada a varias máquinas desde una sola.
Modo túnel
Todo paquete de datos IP (que son los datos más la cabecera del mensaje) es cifrado y autentificado.
Después, debe ser encapsulado en un nuevo paquete IP para que funcione como enrutador. Esta
forma de comunicación es muy utilizada en comunicaciones de red a red, a través de routers o
comunicaciones nodo a red, nodo a nodo sobre Internet.
-
27
VPN IPSec. Tomada de http://www.perle.com/Images/Diagram_VPN_IPSec_1.jpg.
Modo transporte
Sólo se lleva los datos útiles del paquete IP y a la vez es cifrada o autentificada, el enrutamiento no es
tocado, no se modifica la cabecera IP. Si se utiliza la cabecera de autenticación, las direcciones IP no
pueden ser traducidas, pues invalida el HASH. Las capas de transporte y aplicación están aseguradas
por el HASH, por lo que no pueden ser modificadas. De ahí que el modo transporte se utiliza nodo a
nodo
28
Protocolos VPN IPSec. Tomada de http://www.tcpipguide.com/free/diagrams/ipsecahformat.png.
29
Cierre de la unidad
Durante este desarrollo se centralizaron la aplicación de los protocolos SRTP y ZRTP, y la encriptación
SSL, TLS y Diffie-Hellman. Éstos son muy importantes para la seguridad de información y se deben
tomar en cuenta para los servicios de una red. Actualmente, estos protocolos pueden ser
implementados para la seguridad en llamadas telefónicas y otros servicios de Triple Play, lo que
implica el auge de la convergencia de servicios.
También se vieron VPN como parte de extensión de una red. Su seguridad se debe mantener
implementando túneles donde se encapsula la información para tener una mayor fiabilidad de las
comunicaciones entre los diferentes usuarios que tienen un acceso remoto vía Internet. En el protocolo
IPSec provee seguridad bajo un esquema de comunicación, que puede ser implementado en algún
simulador para simular y probar las configuraciones que pueden ser implementadas en los dispositivos
de red.
Fuentes de consulta
Fuentes básicas
Butler, Cris; Rogers, R.; Ferralt, M.; Miles, G.; Fuller, E.; Hurley, C.; Cameron, R.; Kirouac, B.
(2007). IT Security Interviews Exposed: Secret to landing your next information Security Job.
Estados Unidos: Wiley Publishing.
Diffie, W. y Hellman, M. E. (2003). IEEE transactions on Information Theory (volumen 22, Tema 6).
Estado Unidos: IEEE.
Stallings, W. (2003). Fundamentos de seguridad en redes: aplicaciones y estándares. (2ª edición).
España: Pearson, Prentice Hall.
Fuentes complementarias
31
Fuentes electrónicas
Diarioti (2014). Agujero en sitios operados con tecnología SSL cuestiona la seguridad de Internet.
Recuperado de http://www.itnoticias.com/tecnologia/agujero-en-sitios-operados-con-tecnologia-ssl-
cuestiona-la-seguridad-de-internet_74563.html. Última consulta: 21 de febrero del 2019.
Forumtecnico (2012). Diffie-Hellman. Curso: FT527 [Version electronica]. Forum Técnico virtual
Learning System. Recuperado de http://www.forumtecnico.com/mod/page/view.php?id=87
Última consulta: 21 de febrero del 2019.
Hostalia (2013). Protocolo SSH. Hostaliawhitepapers. Recuperado de
https://blog.hostalia.com/white-papers/white-paper-protocolo-ssh/
Última consulta: 21 de febrero del 2019.
OpenSSH 6.6 (2014). Open SSH. Recuperado de http://www.openssh.com/. Última consulta:
21 de febrero del 2019.
Ramió, J. (2014). Píldora No. 2: ¿Qué es la criptografía? Proyecto Thoth Píldoras Formativas.
Criptored. Recuperado de http://www.criptored.upm.es/thoth/material/texto/pildora002.pdf
Última consulta: 21 de febrero del 2019.
Softpedia (2011). Troyano bancario secuest ra conexiones SSL. Seguridad. Recuperado de
https://www.seguridad.unam.mx/historico/noticias/index.html-noti=4419 Última consulta: 21 de
febrero del 2019.
Symantec (2011). Banking by proxy with Trojan. Tatanarg. Recuperado de
http://www.symantec.com/connect/blogs/banking-proxy-trojantatanarg Última consulta: 21 de
febrero del 2019.
Villalón, A. (2002). Seguridad en Unix y redes. Rediris. Recuperado de
http://www.rediris.es/cert/doc/unixsec/node29.html Última consulta: 21
de febrero del 2019
32