Professional Documents
Culture Documents
Redes Computacionales
García Nevarez Daniel Amador
espartacus08@hotmail.com
Abstract. Este articulo habla sobre la seguridad en redes transacciones web. Es importante conocer la seguridad de correo
computacionales, sobe el cifrado simétrico y asimétrico si como electrónico ya que con el crecimiento de internet así como de nuevas
de sus algoritmos DES, AES, Triple DES, RSA, se da conocer tecnologías hacen del correo electrónico una herramienta útil, los
puntos a tratar serán el PEM (Correo de Internet con Privacidad) el
como funciona las firmas digitales así como también la seguridad
PGP (Privacidad bastante buena) y el S/MIME (Extensiones de
que IPSec brinda a IPV4 e IPv5, se dan a conocer las cabecera Correo de Internet de Propósitos Múltiples / Seguro), este último es
de autentificación así como el encapsulado de carga útil de un estándar para criptografía de clave pública y firmado de correo
seguridad. También se pretende comprender como funciona la electrónico encapsulado en MIME. Y el último tema en la
seguridad web a través de transacciones de seguridad de investigación serán los contrafuegos , hay entender los diferentes
servicios web, aplicando la capa de sockets seguros y la tipos de contrafuegos que existen como los filtros de paquetes, la
transacción electrónica segura .La seguridad empleada en correo traducción de dirección de red, los servidores proxy y las puertas de
enlace a nivel circuito e identificar qué tipo de protección brindan así
electrónico donde se pretende razonar el cómo funciona el
como también que tipo de combinaciones de contrafuegos se pueden
correo de internet con privacidad, la privacidad bastante buena y
hacer.
las extensiones de correo de internet de propósitos múltiples /
seguro y también entender que tipos de contrafuegos existen y
cuál es la mejor manera de emplearlos dependiendo de nuestra II. CIFRADO SIMÉTRICO
necesidad.
A. Concepto.
I. INTRODUCCIÓN
El cifrado simétrico, también denominado cifrado convencional o
de clave única, era el único tipo de cifrado en uso antes de la
La seguridad es un punto clave en la actualidad y sus objetivos son la introducción del cifrado de clave pública a finales de la década de los
confidencialidad es decir que la información esté disponible para setenta [1].La criptografía simétrica o de llave secreta es aquella que
aquellas entidades que estén autorizados, la integridad que consiste utiliza algún método matemático llamado sistema de cifrado para
en que la información sea modificada solo por aquellas entidades cifrar y descifrar un mensaje utilizando únicamente una llave secreta
autorizadas, la disponibilidad es aquella en que la información es [2]). Un esquema de cifrado simétrico tiene cinco ingredientes (véase
accesible solo para aquellas entidades que lo necesiten y cuando ellas Figura 1.):
lo necesiten y la autenticidad que consiste en verificar al identidad
del usuario para asegurarse de ser quien dice ser. Es por ello que se Texto nativo (plaintext): es el mensaje original o datos que
hablara de mecanismos como lo es el cifrado simétrico y de sus se proporcionan como entrada del algoritmo.
algoritmos DES (estándar de cifrado de datos) , Triple DES, AES Algoritmo de cifrado: el algoritmo de cifrado lleva a cabo
(estándar avanzado de cifrado) , así como también de el cifrado varias sustituciones y transformaciones sobre el texto
asimétrico y el algoritmo RSA , y notar lo que es una firma digital y nativo.
su función .Otro tema a tratar será la seguridad que hay en IPV4 e
Clave secreta: la clave secreta es también una entrada del
IPV6 , el protocolo que se utiliza para brindar seguridad en la capa de
algoritmo de cifrado. Las sustituciones y transformaciones
red a estos es el IPSec y se analizaran los protocolos de AH
concretas realizadas por el algoritmo dependen de la clave.
(Cabecera de autentificación) y ESP (Encapsulado de carga útil de
Texto cifrado (ciphertext): es el mensaje alterado que se
seguridad).En la seguridad que se implementa en la web esta aplica
produce como salida. Depende del texto nativo y de la
al comercio electrónico y transacciones bancarias entre otras, pero
clave secreta. Para un mensaje dado, dos claves diferentes
aquí se distinguirá SSL (capa de sockets seguros) y SET
producen dos textos cifrados diferentes.
(Transacción Electrónica Segura) que son servicios de seguridad para
fundamentales: el cifrado de enlace y el cifrado extremo a extremo.
En el cifrado de enlace, cada enlace de comunicaciones vulnerable se
equipa con un dispositivo de cifrado en ambos extremos. Así se
protege todo el tráfico que atraviese los enlaces de comunicaciones.
Aunque esto requiere gran número de dispositivos de cifrado en
redes amplias, este esquema proporciona un alto nivel de seguridad.
Con un cifrado extremo a extremo, el proceso de cifrado se efectúa
en los dos sistemas fin ales. La estación o terminal origen cifra los
datos, que en forma cifrada se transmiten sin modificación a través
de la red hasta la estación o terminal destino. El destino comparte
una clave con el origen y es así capaz de descifrar los datos. Esta
Figura 1.Modelo simplificado de cifrado simétrico [1] técnica parece proteger la transmisión contra ataques en los enlaces o
conmutadores de la red.[1] Véase figura 2.
B. Concepto Algoritmos
2) Triple DES. Triple DES es un algoritmo que surge con la A podría seleccionar una clave y entregársela físicamente a
necesidad de elevar los índices de seguridad del algoritmo DES. B.
Consiste en aplicar varias veces el algoritmo DES con diferentes Una tercera parte podría seleccionar la clave y entregársela
claves al mensaje original[5], realiza tres veces el DES, aumentando físicamente a B y A.
la longitud de clave a 192 bits (64 x 3) [6]. Una aplicación tangible Si A Y B han utilizado previa y recientemente una clave,
de Triple-DES se encuentra en los cajeros automáticos, los cuales lo una de las partes podría transmitirá la otra la nueva clave
tienen implementado como su algoritmo de cifrado[7]. cifrada con la antigua clave.
Si A Y B tienen cada uno una conexión cifrada con una
3) El estándar avanzado de cifrado (AES). AES trabaja con tercera parte C, C podría entregar a B y A una clave a
bloques de datos de 128 bits y longitudes de claves de 128, 192, 256 través de los enlaces cifrados[1].
bit según el FIPS 197. Además AES tiene 10, 12 o 14 vueltas
respectivamente, cada vuelta de AES consiste en la aplicación de una III. CIFRADO DE CLAVE PÚBLICA Y FIRMAS
ronda estándar, que consiste de 4 transformaciones básicas, la última
DIGITALES
ronda es especial y consiste de 3 operaciones básicas, añadiendo
siempre una ronda inicial [8].Cada ronda es una composición de
cuatro funciones invertibles diferentes, formando tres capas
A. Cifrado de clave publica
diseñadas para proporcionar resistencia frente a los ataques por
criptoanálisis lineal y diferencial.[7] Un esquema de cifrado de clave pública se compone de seis
ingredientes (véase Figura 3):
Texto nativo: es el mensaje legible o los datos que se
C. Localización de dispositivos de cifrado.
suministran como entrada al algoritmo.
Algoritmo de cifrado: el algoritmo de cifrado lleva a cabo
La aproximación más efectiva y común para enfrentarse a los
varias transformaciones sobre el texto nativo.
ataques a la seguridad de la red es el cifrado. Existen dos alternativas
Claves pública y privada: este es un par de claves que han Kpriv) se calculan a partir de un número que se obtiene como
sido seleccionadas para que, si una se utiliza para el producto de dos primos grandes. El proceso para generar dicho par
cifrado, la otra se use para el descifrado. Las de llaves es el siguiente:
transformaciones concretas que realiza el algoritmo de
cifrado dependen de la clave pública o privada que se Se elige de manera aleatoria dos números primos grandes,
suministre como entrada. pyq
Texto cifrado: es el mensaje desordenado producido como Se calcula el producto n = pq
salida. Depende del texto nativo y de la clave. Para un Se elige ahora un número e primo relativo con (p − 1)(q −
mensaje dado, dos claves diferentes producirán dos textos 1)
cifrados diferentes. La llave pública será (e; n). Nótese que e debe tener
Algoritmo de descifrado: este algoritmo acepta el texto inversa módulo (p − 1)(q − 1) para garantizar que existirá
cifrado y la clave correspondiente, produciendo el texto un número d, tal que de _ 1 mod ((p − 1)(q − 1)) es decir,
nativo original.[1] que d es el inverso de e mod (p − 1)(q − 1)
La llave privada será (d; n)
Por lo que:
Kpub = (e; n) y Kpriv = (d; n) [5].
Figura 3. Cifrado de clave pública.[1] IPsec utiliza dos protocolos para proporcionar seguridad al tráfico: la
Cabecera de Autentificación (AH) y la Carga de Seguridad
B. Firma digital Encapsulada (ESP) [11].
La firma digital es una operación análoga a la firma escrita. El B. Cabecera de autentificación (AH)
esquema de operación es similar al proceso de cifrado solo que las
llaves pública y privada son invertidas, es decir, la llave privada se La cabecera de autenticación proporciona soporte para la integridad
emplea para generar la firma del mensaje y la llave pública se utiliza de los datos y la autenticación de los paquetes IP. . La cabecera de
para verificar dicha firma. El la integridad de los datos se consigue autenticación consta de los siguientes campos (véase Figura 4):
aplicando una función hash a los datos que se van a transmitir. La
salida de la función hash se conoce como el resumen del mensaje y Cabecera siguiente (8 bits): identifica el tipo de cabecera
puede verse como la huella digital del mensaje a transferirse. El que aparece a continuación de ésta.
resumen del mensaje es el que se cifra con la llave privada del emisor Longitud de la carga útil (8 bits): longitud de la cabecera
y se transmite junto con el mensaje original. El receptor aplica la de autenticación en palabras de 32 bits, menos 2. Por
misma función hash a el mensaje original y descifra el mensaje ejemplo, la longitud por defecto del campo de datos de
mediante la llave publica del emisor. Entonces compara la autenticación es de 96 bits, o tres palabras de 32 bits. Con
información descifrada con la salida de la función hash, si ambas son una cabecera fija de tres palabras, hay un total de seis
iguales, los datos no fueron modificados y se sabe que el emisor es palabras en la cabecera, por lo que el campo de longitud de
realmente quien dice ser. Si son diferentes, los datos han sufrido la carga útil vale 4.
alteración durante la transferencia y la firma no es válida [9] Reservado (16 bits): para uso futuro.
Índice de parámetros de seguridad (32 bits): identifica una
C. El algoritmo RSA asociación de seguridad.
Número de secuencia (32 bits): el valor de un contador que
El mejor cripto-sistema de clave publica conocido es el RSA[4], se incrementa de forma monótona.
este sistema de cifrado basa su seguridad en la conjetura matemática Datos de autenticación (variable): un campo de longitud
que sostiene que el problema de factorizar números enteros en sus variable (debe ser un número entero de palabras de 32 bits)
factores primos tiene una complejidad computacional prohibitiva que contiene el valor de comprobación de integridad (ICV,
para el estado del arte de la tecnología de hoy en día y los tamaños en Integrity Check Value) o el MAC para este paquete.[1]
bits de los números utilizados. Las llaves pública y privada (Kpub;
unidireccional, ocurre en una dirección solamente, deshabilitando al
receptor de responder al transmisor, que permite servicios de
seguridad al tráfico que transporta. Una SA permite servicios de
seguridad mediante el uso de AH o de ESP pero no de ambos. Si
ambos no se aplican en un flujo de tráfico, entonces existirán dos (o
más) SAs para permitir la protección al flujo de tráfico. Para asegurar
la comunicación bidireccional típica entre dos Hosts o dos puertas de
enlace, se requieren dos asociaciones de seguridad (uno en cada
sentido)[12].
V. SEGURIDAD WEB
Figura 4. Cabecera de autenticación de IPSec [1]
Fue diseñado y propuesto, pero no oficialmente adoptado, por el 2) Extensiones multipropósito de correo electrónico (MIME)
Consejo de Actividades de Internet (Internet Activities Board) a fin
de proporcionarle seguridad al correo electrónico de Internet. La especificación de MIME incluye los siguientes elementos:
Diseñado para trabajar con el actual e-mail de Internet[16]. El
objetivo principal en el desarrollo de PEM era proporcionar Se definen cinco nuevos campos de la cabecera del
seguridad en el correo electrónico a los usuarios de internet. Los mensaje, que se pueden incluir en una cabecera RFC 822.
servicios que facilita son: Estos campos aportan información sobre el cuerpo del
confidencialidad mensaje.
integridad no orientada a conexión Se define una serie de formatos de contenido,
autenticación del origen, estandarizando así las representaciones que dan soporte al
soporte para no repudio con prueba de origen.[17] correo electrónico multimedia.
Se definen esquemas de codificación de transferencia que
B. Privacidad bastante buena (PGP) permiten la conversión de cualquier formato de contenido
a una forma protegida contra alteraciones por el sistema de
PGP fue concebido como un paquete susceptible de ser utilizado correo.
por un usuario medio con un pequeño sistema y que proporcionara
privacidad y autenticación con correo electrónico. En PGP esto se Los cinco campos de cabecera definidos por MIME son los
consigue: siguientes:
Seleccionando los mejores algoritmos de seguridad.
Integrando estos algoritmos en una aplicación de propósito Versión MIME debe tener el valor de parámetro 1.0. Este
general independiente del sistema operativo y del equipo, campo indica que el mensaje se ajusta a los RFC 2045 y
que se basa en un conjunto de comandos reducido. 2046.
Haciendo el paquete y su documentación, incluido el Tipo de contenido: describe los datos que contiene el
código fuente, de libre distribución y disponible para todo cuerpo con suficiente detalle, para que el usuario receptor
el mundo. pueda elegir un agente o un mecanismo apropiado para
representar los datos al usuario o, si no, manejar los datos
Firmas digitales. PGP utiliza los algoritmos criptográficos siguientes. de forma apropiada.
IDEA (International Data Encryption Algorithm). Utiliza Codificación de transferencia de contenido: indica el tipo
una clave de 128 bits para cifrar bloques de datos de 64 de transformación que se ha utilizado para representar el
bits. Es un algoritmos simétrico (se emplea una clave cuerpo del mensaje de forma aceptable para el transporte
secreta para cifrar y descifrar). del correo.
RSA (Rivest-Shamir-Adleman). Es el algoritmo de clave Identificación del contenido: utilizada para identificar
pública más universal. Existen dos claves, una pública, que entidades MIME de forma única, en contextos múltiples.
todo el mundo conoce, y otra privada, en poder del Descripción del contenido: una descripción en texto del
receptor[16]. objeto del cuerpo: es útil cuando el objeto no es legible
(por ejemplo, datos de audio).[18]
S/MIME (Secure/Multipurpose Internet Mail Extensions) supone En términos de funcionalidad general, S/MIME es muy similar a
una mejora a la seguridad del formato estándar de correo electrónico PGP. Los dos ofrecen posibilidad de firmar y/o cifrar mensajes. En
de MIME, basado en tecnología de RSA Data Security. Para entender este se parado se resume brevemente la capacidad de S/MIME.
S/MIME hay que tener un conocimiento general de MIME, que es el S7MIME proporciona las siguientes funciones:
formato de correo subyacente que utiliza. Para comprender la
importancia de MIME, debemos retroceder al estándar tradicional de Datos empaquetados (enveloped data): consiste en
formato de correo electrónico, RFC 822 que aún es de uso común. contenido cifrado de cualquier tipo y claves de cifrado de
contenido cifrado para uno o más receptores.
1) RFC 822 El RFC 822 define un formato para los mensajes de Datos firmados (signed data): una firma digital se forma
texto que se envían por medio de correo electrónico. Ha sido el tomando el resumen de mensaje del contenido que se va a
estándar para mensaje de texto de correo electrónico basado en firmar y cifrándolo con la clave privada del firmante. El
internet y sigue siendo de uso común. En el contexto de RFC 822, se contenido mas la firma se codifican luego usando
considera que los mensajes se componen en un sobre (envelope) y codificación base64.Un mensaje de datos firmado solo
unos contenidos (content). El sobre contiene la información necesaria puede verlo un receptor con capacidad S/MIME.
para llevar a cabo la transmisión y distribución. Los contenidos
Datos firmados en claro (clear-signed data): al igual que entonces con Internet, y retransmite las respuestas hacia atrás hasta el
con los datos firmados, se crea una firma digital del cliente original. Como los clientes no tienen direcciones IP Internet
contenido. Sin embargo, en este caso, solos se codifica la válidas, son invisibles para los usuarios exteriores de Internet[20].
firma digital usando base64. Como resultado, los
receptores sin capacidad S/MIME pueden ver el contenido D. Servidores proxy
del mensaje, aunque no puedan verificar la firma.
Los servidores proxy, también llamados puertas de enlace del nivel
Datos firmados y empaquetados (signed and enveloped data): se de aplicación proporcionan una forma mucho más estricta de
puede anida entidades sólo firmadas y sólo cifradas, para que los seguridad que los filtros de paquetes pero están diseñados para
datos cifrados puedan ser firmados y que los datos firmados o en regular el acceso solamente a una aplicación particular. En esencia,
formato clear signed puedan ser cifrados[18]. un servidor proxy funciona como un intermediario entre el cliente y
el servidor de un servicio particular. Se usan filtros de paquetes para
impedir todas las comunicaciones directas entre los clientes y los
VII. CONTRAFUEGOS servidores de ese servicio; todo el tráfico tiene que pasar por el
servidor proxy (véase la Figura 7).
A. Concepto
Como el servidor proxy tiene un conocimiento mucho más
Los cortafuegos (firewalls) son sistemas o grupos de sistemas que detallado de la aplicación concreta y de sus funciones, puede regular
implementan una política de control de acceso entre dos redes, con más precisión las comunicaciones generadas por dicha
prohibiendo o permitiendo explícitamente una determinada aplicación. Un cortafuegos puede ejecutar servidores proxy
comunicación, en función del lugar de procedencia, el tipo de individuales para cada una de las aplicaciones que necesiten los
servicio o los parámetros que se configuren[19]. sistemas cliente [20]
B. Filtros de paquetes
VIII. RESULTADOS
Simétrico 3/6
Asimétrico 3/6
Servicios que
proporciona Control de Integridad Autenticación Rechazo de Confidencialidad Confidencialidad
IPSec acceso de origen de paquetes (encriptación) de un flujo Total
/Protocolos datos repetidos limitado de
tráfico
Cabecera de
Autentificación 4/6
(AH)
Encapsulado de
carga útil de 6/6
seguridad
((ESP).)
Estándar / confidencial integridad autenticación Algoritmo compresió Algoritmo Algoritm Algoritmo Total
Características idad triple des n de texto DES o RSA AES
Correo de Internet
con Privacidad 6/8
Privacidad 8/8
bastante buena
Extensiones de 7/8
Correo de Internet
de Propósitos
Múltiples / Seguro