• Save
Seguridad en Internet
Upcoming SlideShare
Loading in...5
×
 

Seguridad en Internet

on

  • 1,617 views

 

Statistics

Views

Total Views
1,617
Views on SlideShare
1,610
Embed Views
7

Actions

Likes
0
Downloads
0
Comments
0

1 Embed 7

http://www.slideshare.net 7

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Seguridad en Internet Seguridad en Internet Presentation Transcript

  • Criptografía aplicada Seguridad en Internet Roger Carhuatocto Miembro esCERT-UPC Responsable de Servicios Educacionales esCERT-UPC C/ Jordi Girona, 1-3. Campus Nord, UPC 08034 Barcelona ~ España Tel. (34)934015795 ~ Fax. (34)934017055 (3.mayo.2004)
  • Correo seguro
    • Varias soluciones en el mercado
    • PGP (Pretty Good Privacy)
      • Aplicación que provee de algoritmos para securizar las comunicaciones por mail (VPN)
      • Standard de facto
      • Sistema híbrido cifrado simétrico/asimétrico
      • Algoritmos que utiliza:
        • CAST-128, 3DES, IDEA, TwoFish, AES
        • RSA, DSS
        • MD5, SHA-1
  • Pretty Good Privacy (PGP)
    • Aplicación que provee de algoritmos para securizar las comunicaciones por mail
    • Standard de facto
      • Sistema híbrido cifrado simétrico/asimétrico
      • Algoritmos que utiliza:
        • CAST-128, 3DES, IDEA, TwoFish, AES
        • RSA, DSS
        • MD5, SHA-1
    • Descargar pgp de: http://web.mit.edu/network/pgp.htm
  • Firma de Código
    • http://www.verisign.com/support/signing/install.html
    • ¿Qué significa que un código está firmado?
    Software Publisher’s Pledge (Acuerdo de calidad) (donde el vendedor de software garantiza que no firmará programas con virus) Código Hace lo que sea Código Hace lo que debe hacer
  • Teoría de Firma de Código
    • Asegurar que el software proviene de quien debe provenir
    • La firma consiste en una extensión de PKI
      • Una firma digital que se genera a partir de una clave privada
      • Un certificado digital que contiene la clave pública correspondiente, el nombre de la organización que lo firma y la firma de la autoridad reconocida (3º de confianza)
  • Esquema de firma de código Se presupone una Infraestructura de PKI funcionando. Algoritmos de cifrado Fuerte. Programa ejecutable Firma del Código con la clave privada k Clave Pública K Firma de clave Certificado La clave pública la firma la CA
  • Requerimientos Firma código
    • Existencia de una Public Key Infrastructure
      • Si no es imposible decir de quién es la firma que hay en el código, y no hay forma de determinar si la hizo quien se dice que la hizo o un impostor
    • Para ser útil las firmas deben ser verificadas y se deben aplicar las medidas oportunas en caso de no ser correctas
      • Ejemplo: si parte importante de un SO ha sido modificada, no se ejecutará.
  • Firma de código: Tipos de soluciones
    • Sun Java SDK : soporta su propio modelo de firma
    • Authenticode : el sistema de Microsoft para firmar archivos CAB, CAT, CTL, DLL, EXE y OCX
    • Microsoft Office 2000 y VBA Signing : permite firmar macros y objetos VBA
    • Netscape Object Signing : puede utilizarse para firmar archivos JAR, plug-ins de Netscape y programas java o javascript
    • Firma digital Macromedia Shockwave (requiere Director 8 Shockwave Studio o Macromedia Flash)
    • Otros.
  • Problemas Firma de código
    • No existe un estándar y cada fabricante implementa su solución
    • Restricciones legales. Así como otros tipos de criptografía tienen fuertes restricciones, la firma de código no las tiene, debido a que la firma de código no implica secretos.
  • Ejemplo: Jar Signer Tool
    • Para firmar código Java (applets), se requiere:
      • El programa a firmar (*.jar)
      • La política de firma de código (que dice qué tipo de accesos requiere el programa)
      • El JAR Signer Tool, que está disponible gratuitamente en la web de Sun.
      • Descargarlo en:
      • http://java.sun.com/j2se/1.4/docs/guide/security/SecurityToolsSummary.html
  • Ejemplo: Authenticode
    • Para firmar código con Authenticode de Microsoft, se requieren dos cosas:
      • El programa a firmar
      • Una copia de Microsoft Authenticode Software Development Kit, que puede ser descargado gratuitamente de la red.
    Descargarlo de: http://msdn.microsoft.com/workshop/security/authcode/signing.asp
  • Firma de Formularios Web
    • Firma el contenido web
    • Es necesario que web browser tenga capacidad de firmar digitalmente usando los certificados previamente instalados
    • Ejemplos:
      • Netscape 4.x, el browser ya tiene capacidad de firma embebido, es necesario conocer JavaScript (*)
      • IE + ActiveX con capacidad de firma, ejemplo ActiveX FormSign.ocx de Safelayer
    (*) http://developer.netscape.com/tech/security/formsign/formsign.html
  • Firma/Cifrado XML
    • Especificaciones:
      • http://www.w3.org/Signature
      • http://www.w3.org/Encryption/200 1
    • En lugar de firmar datos arbitrarios, se firma/cifra datos definidos en una estructura XML
    • El resultado de la operación criptográfica puede o no estar en el mismo documento XML
    • Ejemplo:
      • http://signature.ubisecure.com
      • Es necesario IE y tener un certificado de firma digital o de cifrado
  • Seguridad basada en cifrado IP telnet ftp http Pop3 Smtp dns
    • IPSec
    • ssh
    • sftp,scp
    • https
    • Pop3 + stunnel
    • Smtp + stunnel
    • Secure dns
    ssl
  • IPSec – Conclusiones
    • Protocolo muy complejo  complicado de asegurar
    • Modos
      • Transporte
      • Túnel
    • Documentación poco clara
    • Orden de las operaciones
      • Encriptación y autenticación
    • Implementaciones seguras?
      • El peor momento es el de la negociación de políticas entre distintas implementaciones
  • VPN
    • Convierte redes separadas en una única red virtual segura
    • Funcionalidades añadidas a Firewall
      • Reglas de filtrado por usuario
    • Filtrado basado en Asociaciones de Seguridad
    • Permite controlar tráfico entrante
    • Free S/Wan
      • Gratis, Código abierto, Diffie-Hellman, Triple-DES
  • IPSec vs SSL
    • Cuestiones:
    • ¿Los dos modos de funcionamiento de IPSec y la complejidad de su implementación hace que sea inherentemente más vulnerable que SSL?
    • ¿Los bugs de SSL hacen que sea una mala opción?
    • SSL e IPSec están a distinta altura en la capa OSI
  • Bibliografía
    • “ Web Security, Privacy & Commerce, 2nd Edition ”. Simson Garfinkel , O’Reilly, November 2001
    • “ Just Java™ 2, Fifth Edition ”. Peter van der Linden , Prentice Hall PTR, December 2001
    • “ Building Java™ Enterprise Systems with J2EE™ ” Paul J. Perrone, Venkata S. R. "Krishna" R. Chaganti , Sams Publishing
    • “ PHP and MySQL Web Development ” Luke Welling, Laura Thomson , Sams Publishing