3 Seguridad en redes (internet)

3.1 Criptografía en las redes

• cifrado extremo a extremo: se cifra a nivel de aplicación. Por ello la técnica de cifrado dependerá del programa y éste será quién corra con los procesos criptográficos. El programa enviará y recibirá mensajes cifrados. Ejemplos de esta modalidad son el SSL (Secure Sockets Layer), el TLS, el SMIME y el PGP (Pretty Good Privacy)
• cifrado de enlace: se cifra a nivel de red. En este caso los procesos criptográficos corren a cargo de la parte de red del sistema operativo. El cifrado es por tanto completamente transparente a las aplicaciones las cuales reciben y envían información no cifrada. Ejemplos de esta modalidad son el IPSEC y aquellas técnicas criptográficas que implementan, de forma propietaria, hardware de red específico de algunos fabricantes.

3.1.1 SMIME

• Cabecera Email
• Cabeceras habituales de un mensaje de correo electrónico
• Cabecera MIME
• MIMEVersion: 1.0
• Content-Type: application/x-pkcs7-mime
• Content-transfer-encoding: base64
• Cuerpo del mensaje : objeto pkcs#7 codificado en base64

3.1.1.1 Tipos de objetos SMIME:

• data: objeto pkcs#7  con cualquier tipo de información
• signed-data: objeto pkcs#7 con información firmada
• enveloped-data: objeto pkcs#7 con información cifrada
• signed-and-enveloped-data: objeto pkcs#7 con información firmada y cifrada

3.1.2 SSL

• confidencialidad
• autentificación del servidor
• autentificación del cliente (opcionalmente)

3.1.2.1 Funcionamiento del SSL:

1. El servidor tiene un par de llaves (pública y privada, utilizando X509)
2. Durante el establecimiento de la conexión cliente y servidor negocian qué protocolos criptográficos van a utilizar.
3. Una vez puestos de acuerdo el servidor manda su certificado al cliente.
4. El cliente comprueba la firma del certificado utilizando la clave pública de la autoridad certificadora. A continuación comprueba que el certificado es válido y extrae la clave pública del certificado.
5. A continuación hay que verificar que el servidor tiene la clave privada. Para ello el cliente cifra con la clave pública del servidor una llave de sesión aleatoria. Y se la envía al servidor.
6. Si el servidor es capaz de descifrar la llave de sesión y el cliente comprueba este hecho, entonces la sesión cifrada ya estará establecida.
7. Opcionalmente el servidor puede pedir la autentificación del cliente. El cliente entonces envía su certificado al servidor y se comprueba que el cliente tenga la clave privada lanzando un reto.

3.2 Autentificación en Apache

• autorización según IP del cliente: deny / allow
• autentificación HTTP: la página requerirá al usuario un login/password.
• autentificación SSL: directiva SSL. Configura los requerimientos del módulo mod_ssl. Esta opción habilita el soporte SSL para el servidor.

3.3 Amenazas en la red

• sniffing: un atacante escucha una comunicación establecida a través de la red. La solución pasa por cifrar las comunicaciones o utilizar hardware específico que las cifre. El sniffing resulta trivial en redes cuya estructura física sea en bus (aunque para que resulte efectivo el tráfico no deberá de estar cifrado).
• spoofing: suplantación de la identidad -> ataque a la autenticidad. Algunas de las posibles soluciones son cuidar las contraseñas o utilizar la firma electrónica.
• hijacking: suplantación de una conexión una vez establecida y autentificada entre A y B, C suplanta a A. Para proteger de esta amenaza se utilizarán conexiones cifradas con transmisión segura de la contraseña. Periódicamente se podrá lanzar un reto para detectar la presencia de hijackign tal y como hace el protocolo CHAP del PPP.
• denial of Service (DoS) (denegación de servicio): consiste en atacar un punto de la red de forma que los servicios que presta dejen de funcionar. Este ataque va muy relacionado con los fallos de diseño de la arquitectura.
• intrusión: ataque a un servidor para utilizarlo sin autentificación. Va muy relacionado con los fallos de software.

3.4 Cortafuegos