Seguridad en la transmisin de Datos

David Peg Montalvo

Santiago de Compostela Noviembre 2005

Telefonica Empresas Ingeniera de Soluciones

ndice

[P R O T E G E]
LO QUE IMPORTA

01 02 03 04 05

Seguridad. mbito de aplicacin Control de acceso Conceptos bsicos de criptografa PKI Seguridad en protocolos

Telefonica Empresas Ingeniera de Soluciones

[P R O T E G E]
LO QUE IMPORTA

Seguridad. mbito de aplicacin

Telefonica Empresas Ingeniera de Soluciones

Comunicaciones

[P R O T E G E]
LO QUE IMPORTA

COMUNICACIONES

Telefonica Empresas Ingeniera de Soluciones

Riesgos
Anonimato Falta de confidencialidad

[P R O T E G E]
LO QUE IMPORTA

Posibilidad de suplantacin Vulnerabilidad de los mensajes y aplicaciones

Establecer mecanismos que eviten los problemas anteriores: 1. Controlar los accesos 2. Dotar a los mensajes de un mecanismo que garantice la identidad del remitente, la integridad del mensaje y la confidencialidad del contenido
Telefonica Empresas Ingeniera de Soluciones 5

Visin Integral de la Seguridad

[P R O T E G E]
LO QUE IMPORTA

Firewalls y Proxys

PC -Cliente

Anonimato

Falta Confidencialidad

Suplantacin Seguridad RED

90 80 70 60 50 East West 40 sage 30 20 10 0 1st Qtr 3rd Qtr Qtr 2nd Qtr 4th

Mensajes Vulnerables

Bases de Datos

Aplicaciones web

Aplicaciones de empresa

Email

Comercio Electrnico

Telefonica Empresas Ingeniera de Soluciones

[P R O T E G E]
LO QUE IMPORTA

Control de Acceso

Telefonica Empresas Ingeniera de Soluciones

Modelo Internet

[P R O T E G E]
LO QUE IMPORTA

Aplicacin TCP/IP Nivel Enlace Nivel Fsico

Navegador Software de RED Sist. Operativo. LAN Radio, cable, fibra,

Telefonica Empresas Ingeniera de Soluciones

Protocolos de comunicacin

[P R O T E G E]
LO QUE IMPORTA

TCP/IP Enlace 11100010000101110000100010000.. Nivel Fsico

Telefonica Empresas Ingeniera de Soluciones

TCP/IP Enlace

Cortafuegos / Proxy

[P R O T E G E]
LO QUE IMPORTA

Cortafuegos (Firewall)

Correo

Web

Proxy
Red Interna

Base Datos pblica

......
Base Datos privada

Telefonica Empresas Ingeniera de Soluciones

10

[P R O T E G E]
LO QUE IMPORTA

Conceptos bsicos de criptografa

Telefonica Empresas Ingeniera de Soluciones

11

Las 4 aspectos bsicos de la seguridad

1
[P R O T E G E]
LO QUE IMPORTA

IDENTIFICACIN
Tener la certeza de que una informacin ha sido escrita por quien dice que la ha escrito.

2 3 4

CONFIDENCIALIDAD
Que nadie pueda leer la informacin excepto el destinatario

INTEGRIDAD
Que nadie sea capaz de alterar lo que yo haya escrito.

NO REPUDIO
Que nadie sea capaz de negar que ha escrito o enviado algo

Telefonica Empresas Ingeniera de Soluciones

DISPONIBILIDAD
12

Criptografa
Definicin: Tcnica que se ocupa del diseo de mecanismos para cifrar, es decir, para enmascarar una determinada informacin de carcter confidencial

[P R O T E G E]
LO QUE IMPORTA

Telefonica Empresas Ingeniera de Soluciones

13

Criptografa de clave privada

A tiene una clave secreta Si B quiere enviar a A un mensaje secreto: A enva a B una copia de su clave secreta B encripta el mensaje con la clave secreta de A A desencripta el mensaje con su clave secreta

[P R O T E G E]
LO QUE IMPORTA

Problemas:
Cmo hace llegar A a B la clave secreta?

Qu pasa si B no es realmente B? Hace falta generar una clave secreta distinta para cada persona con la que A se comunique.

Telefonica Empresas Ingeniera de Soluciones

14

Confidencialidad
Si B quiere enviar a A un mensaje secreto: A enva a B una copia de su clave pblica.

[P R O T E G E]
LO QUE IMPORTA

B con esta clave pblica encripta el mensaje a A. A desencripta el mensaje con su clave privada.

Telefonica Empresas Ingeniera de Soluciones

15

Identificacin y No repudio
B quiere enviar un mensaje y que A sepa que slo l lo ha podido enviar

[P R O T E G E]
LO QUE IMPORTA

B enva a A una copia de su clave pblica. B encripta el mensaje a A con su clave privada. A desencripta el mensaje con la clave pblica de B.

Telefonica Empresas Ingeniera de Soluciones

16

Integridad
B quiere enviar un mensaje a A a prueba de modificaciones y suplantaciones de identidad. B firmar digitalmente el mensaje

[P R O T E G E]
LO QUE IMPORTA

B enva a A una copia de su clave pblica. B resume su mensaje ->Hash B encripta el resumen del mensaje con su clave privada. B enva a A: Mensaje+Resumen Encriptado A desencripta el resumen del mensaje con la clave pblica de B. ->Hash A tiene un Mensaje y un Resumen. A resume el mensaje original ->Hash A compara el resumen del original (Hash) y el resumen enviado (Hash) ->Comprueba que no han modificado el mensaje

Telefonica Empresas Ingeniera de Soluciones

17

Usos de los tipos de criptografa

[P R O T E G E]
LO QUE IMPORTA

Simtrica: Cifrado=Confidencialidad El uso de criptografa asimtrica para el cifrado es muy costoso. Asimtrica: Firma Digital= Autenticacin, No repudio e Integridad Sobre digital=Cifrado de claves de sesin

Telefonica Empresas Ingeniera de Soluciones

18

Usos de la Criptografa asimtrica

Cifrado
[P R O T E G E]
LO QUE IMPORTA

Firma Digital
Copia de Llave pblica Copia de Llave pblica

Llave privada (bien guardada por su dueo)

Llave privada (bien guardada por su dueo)

Al estar el mensaje cifrado con la clave pblica, slo se puede descifrar con la privada, que nadie ms que el dueo posee.
Telefonica Empresas Ingeniera de Soluciones

Al estar un resumen del mensaje cifrado con la clave privada, todos los que tengan copia de la pblica pueden verificar la firma.
19

Usos de la Criptografa asimtrica

Ventajas: A distribuye su clave pblica libremente Si B no es de fiar, no puede hacer nada sin la clave privada de A A slo necesita una pareja de claves, independientemente de la gente con la que se relacione A puede firmar mensajes digitalmente Problema: Cmo sabe B que A es A, y no un tercero que le quiere suplantar, que realmente se trata de la clave pblica de A Respuesta: Autoridad de Certificacin y Certificados Digitales

[P R O T E G E]
LO QUE IMPORTA

Telefonica Empresas Ingeniera de Soluciones

20

El certificado
Un certificado es un fichero informtico que utilizaremos para relacionar una clave pblica ( y por relacin, la clave privada asociada) con un usuario que conocemos y tenemos identificado. El certificado, al hacer uso de criptografa asimtrica puede ser utilizado para:

[P R O T E G E]
LO QUE IMPORTA

Cifrar documentos Firmar documentos

Es, por tanto, muy importante estar realmente seguros de que la clave pblica que manejamos para verificar una firma o cifrar un texto, pertenece realmente a quien creemos que pertenece.

Telefonica Empresas Ingeniera de Soluciones

21

[P R O T E G E]
LO QUE IMPORTA

PKI. Infraestructura de Clave Pblica

Telefonica Empresas Ingeniera de Soluciones

22

Estructura de un certificado X.509

Datos del usuario
Contiene la informacin que identifica al propietario de la pareja de claves

[P R O T E G E]
LO QUE IMPORTA

Datos del emisor

Contiene la informacin de la entidad que afirma que la clave pblica (en rojo) pertenece al usuario

Otros datos Clave pblica Firma emisor

Otros datos: Periodo de validez, algoritmos utilizados, versin, etc Clave pblica (copia) propiedad del usuario
Firma (resumen de todo lo anterior firmado con la clave privada del emisor) mediante la cual el emisor garantiza que los datos son correctos sirve para comprobar si el certificado ha sido modificado.
23

Telefonica Empresas Ingeniera de Soluciones

Confianza digital
CA
B B B
Pblica

[P R O T E G E]
LO QUE IMPORTA

Clave publica

Confa

Telefonica Empresas Ingeniera de Soluciones

Verificacin de certificados
Coincide el nombre especificado en el DN del certificado con el nombre del remitente? Est la fecha actual dentro del perodo de validez del certificado? Es la CA emisora del certificado una CA en la que confo? Valida la clave pblica de la CA emisora del certificado la firma del dueo del certificado? El certificado no se encuentra incluido en la lista de certificados revocados (CRL) de la CA?

[P R O T E G E]
LO QUE IMPORTA

Telefonica Empresas Ingeniera de Soluciones

25

Qu garantas tengo?
Tecnolgicas
Anonimato -> Autenticacin y No repudio Falta de confidencialidad -> Cifrado Posibilidad de suplantacin -> Autenticacin y No repudio Vulnerabilidad de los mensajes -> Integridad

[P R O T E G E]
LO QUE IMPORTA

Legales Firma Digital = Firma manuscrita

Telefonica Empresas Ingeniera de Soluciones

26

Qu es una PKI?
Definicin
Una infraestructura de clave pblica (PKI) es es el conjunto de plataformas y prcticas que permiten ofrecer un entorno seguro para comprar, vender, firmar documentos e intercambiar informacin sensible a travs de Internet .

[P R O T E G E]
LO QUE IMPORTA

Componentes Tecnolgicos

Plataformas y Sistemas: Autoridad de Certificacin (CA), Autoridad de registro (RA), Sistema de distribucin de claves (Directorio pblico LDAP), Frontend web, etc

Procesos

Procesos: Prcticas de operacin, auditora informtica, etc. Ciclo de vida de usuarios, certificados y claves. Gestionar la emisin, validacin y revocacin de certificados digitales Validar y asegurar a los agentes que intervienen en las transacciones

Telefonica Empresas Ingeniera de Soluciones

27

Componentes de una PKI

Directorio pblico LDAP Almacenamiento claves privadas Autoridad de Certificacin (CA)

[P R O T E G E]
LO QUE IMPORTA

Entorno de alta seguridad y disponibilidad

Autoridad de Registro (RA) Procesos

Telefonica Empresas Ingeniera de Soluciones

28

[P R O T E G E]
LO QUE IMPORTA

Seguridad en protocolos

Telefonica Empresas Ingeniera de Soluciones

29

Seguridad en los protocolos

HTTP [
PROTEGE
LO QUE IMPORTA

Navegador

SSL TCP IP IPSEC Nivel Enlace Nivel Fsico

HW/SW de RED

LAN Radio, cable, fibra,

Telefonica Empresas Ingeniera de Soluciones

30

Protocolo SSL
En 1994 Netscape inventa Secure Sockets Layer. Protocolo utilizado para la autenticacin y confidencialidad de mensajes entre un Cliente y un Servidor => Identificacin y confidencialidad. Aceptado universalmente en la Web. SSL utiliza criptografa simtrica y asimtrica. SSL es una capa adicional entre Internet (TCP/IP) y las aplicaciones. SSL no modifica el contenido de los mensajes a transmitir por las aplicaciones.

[P R O T E G E]
LO QUE IMPORTA

Telefonica Empresas Ingeniera de Soluciones

31

Protocolo SSL en fase de establecimiento SSL HandShake

Navegador
Quin es usted? Los protocolos que yo soporto

Sitio Web Este es mi certificado para probar mi identidad Los protocolos que he decidido que utilicemos

[P R O T E G E]
LO QUE IMPORTA

He verificado su identidad [Este es mi certificado para probar mi identidad] La clave secreta que he decidido que utilicemos

[He verificado su identidad] Le envo una copia de todo que lo que hemos acordado.

Le envo una copia de todo que lo que hemos acordado

INTERCAMBIO DE DATOS
Telefonica Empresas Ingeniera de Soluciones 32

Verificacin de certificados

CERTIFICADO DEL SERVIDOR

[P R O T E G E]
LO QUE IMPORTA

DN del Servidor www.dominio.ext DN de la CA emisora Perodo de Validez del Certificado Nmero de Serie del Certificado Clave Pblica del Servidor

CA Firma del Certificado

Telefonica Empresas Ingeniera de Soluciones

33

RPV (Red Privada Virtual)

[P R O T E G E]
LO QUE IMPORTA

Telefonica Empresas Ingeniera de Soluciones

34

[P R O T E G E]
LO QUE IMPORTA

Telefonica Empresas Ingeniera de Soluciones

35