Firewalls y cifrado

Introducción• Describir las jugadas de cifrado papel en un servidor de seguridad y su arquitectura

• Explicar el funcionamiento de los certificados digitales y por qué son herramientas de seguridad importantes

• Analizar el funcionamiento de SSL, PGP, y otra esquemas de cifrado populares

• Discutir la seguridad del protocolo de Internet (IPSec) y identificar sus protocolos y modos

Firewalls y cifrado• Los hackers se aprovechan de la falta de cifrado

• La encriptación: - Preserva la integridad de datos - Aumenta la confidencialidad - Es invocada por la autenticación de usuario - Juega un papel fundamental para que las VPN funcionen bien

El hacker y un paquete sin cifrar

El hacker y un paquete cifrado

El Costo de Cifrado• Recursos de la CPU y el tiempo

• El bastión host que aloja el servidor de seguridad debe ser suficientemente robusto como para administrar el cifrado y otras funciones de seguridad

• Los paquetes cifrados pueden necesitar ser rellenos a longitud uniforme para asegurar que algunos algoritmos trabajen eficazmente

• Se puede dar lugar a retrasos

•El monitoreo puede carga al administrador del sistema

Preservar la integridad de los datos• Las sesiones cifradas pueden salir mal como consecuencia de los ataques man-in-the-middle

•El cifrado se puede realizar utilizando unafirma digital llamada nonrepudiation

Manteniendo la Confidencialidad• El cifrado oculta la información para que sea ilegibles a todos, excepto a los destinados

La autenticación de clientes de red• Los cortafuegos tienen que confiar en que reclamó de la persona y su identidad es verdadera

• Los servidores de seguridad que se ocupan del cifrado se pueden utilizar para identificar a las personas que tienen "tarjetas de identificación digitales" que incluirá códigos cifrados - Las firmas digitales - Las claves públicas - Las claves privadas

Habilitación de Redes Privadas Virtuales (VPNs)• Como parte integral de las VPN, la encriptación: - Permite al servidor de seguridad determinar si el usuario que quiere conectarse a la VPN es en realidad autorizado para ello - Codifica la carga útil de información para mantener intimidad

Principios de la criptografía• Cifrado: el proceso de convertir un mensaje original en una forma que no puede ser entendido por personas no autorizadas

• Criptología, la ciencia de la codificación, abarca dos disciplinas: - Criptografía: describe los procesos necesarios en los mensajes de codificación y decodificación de manera que otros no pueden entenderlos - El criptoanálisis: el proceso de descifrar el mensaje original (texto plano) de un cifrado (texto cifrado) sin conocer los algoritmos y las claves utilizadas para realizar la cifrado

Definiciones de cifrado• Algoritmo: la fórmula matemática o método utilizado para convertir un mensaje no cifrado en un mensaje cifrado

•Cifrado: la transformación del componente (caracteres, bytes o bits) de un mensaje no cifrado en componentes cifrados

•Texto cifrado o criptograma: lo ininteligible del mensaje codificado resultante de un cifrado

• Criptosistema: el conjunto de transformaciones necesaria para convertir un mensaje no cifrado en un mensaje cifrado

Definiciones de cifrado (continuación)•¨ Decipher: descifrar o convertir el texto cifrado para plaintext

• Cifrado: cifrar o convertir texto plano en texto cifrado

•Clave o cryptovariable: la información utilizada en conjunción con el algoritmo para crear la texto cifrado desde el texto plano, puede ser una serie de bits usados en un algoritmo matemático o la conocimiento de cómo manipular el texto en claro

• keyspace: toda la gama de valores que pueden posiblemente ser utilizado para construir una tecla individual

Definiciones de cifrado (continuación)• Texto plano: el mensaje no cifrado original que se cifra

• La esteganografía: el proceso de esconder mensajes, por lo general dentro de imágenes gráficas

• Factor de Trabajo : la cantidad de esfuerzo (por lo general expresado en unidades de tiempo) requerida para llevar a cabo un criptoanálisis de un mensaje codificado

Cifrados comunes• En el cifrado, los algoritmos mas utilizados son tres: sustitución, transposición, y XOR

• En un cifrado de sustitución, sustituyes un valor por otro, un monoalfabéticos usos sustitución sólo un alfabeto y una polialfabética sustitución de utilizar dos o más alfabetos

• El sistema de cifrado de transposición (o en cifra de permutación) simplemente reorganiza los valores dentro de un bloque de crear el texto cifrado

Cifrados comunes (continuación)• En la conversión de cifrado XOR, el flujo de bits es sometido a una función booleana XOR contra algún otro flujo de datos, típicamente un flujo de clave

• XOR funciona de la siguiente manera: - '0 'XOR'ed con '0' se convertiría en '0 '(0 a 0 = 0) - '0 'XOR'ed con '1' Resultados de un '1 '(0 a 1 = 1) - '1 'XOR'ed con '0' se convertiría en '1 '(1 a 0 = 1) - '1 'XOR'ed con '1' Resultados de un '0 '(1 a 1 = 0)

• En pocas palabras, si los dos valores son iguales, conseguir "0", si no, que se obtiene "1"

• Este proceso es reversible.

Vernam Cipher• También conocido como el cojín de una sola vez, el Vernam cipher fue desarrollado en AT & T y utiliza un conjunto de caracteres que se utilizan para el cifrado de una sola vez y luego es descartado

• Los valores de este one-time pad se agregan a el bloque de texto, y la suma resultante es convertido a texto

Ejecución de la Clave de Cifrado• Otro método, utilizado en el espía ocasional de película, es el uso de texto en un libro como el algoritmo para descifrar un mensaje

• La clave se basa en dos componentes: - Saber qué libro para usar - Una lista de los códigos que representan el número de página, número de número de línea, y la palabra del texto en claro palabra

El cifrado simétrico

• Los anteriores métodos de cifrado / descifrado requieren el mismo algoritmo y la clave que se puede utilizar para tanto cifrar / descifrar el mensaje

• Esto se conoce como el cifrado de clave privada o cifrado simétrico

• En este enfoque, la misma clave-una clave secreta-se utiliza para cifrar y descifrar el mensaje

• Por lo general, extremadamente eficiente, requiriendo sencillo procesamiento para cifrar o descifrar el mensaje

• El reto principal es conseguir una copia de la clave de el receptor, un proceso que debe llevarse a cabo fuera de banda para evitar la interceptación

El cifrado simétrico continuacion

La Tecnología de Symmetric Encryption• Data Encryption Standard (DES) - Desarrollado en 1977 por IBM - Basado en el algoritmo de cifrado de datos (DEA), que utiliza un tamaño de bloque de 64 bits y una clave de 56 bits - Norma federal aprobada para no clasificada datos - Agrietada en 1997, cuando los desarrolladores de un nuevo algoritmo, Rivest-Shamir-Aldeman, ofrecio 10.000 dólares para quien fue el primero en romperlo - Catorce mil usuarios colaboraron en el Internet para finalmente romper el cifrado

• Triple DES (3DES) fue desarrollado como una mejora de DES y utiliza todos los que tres botones de forma consecutiva

El cifrado asimétrico• También conocido como cifrado de clave pública

• Utiliza dos claves diferentes pero relacionadas

• Si la clave A se utiliza para cifrar el mensaje, entonces sólo Tecla B puede descifrar; si la llave B se utiliza para cifrar mensaje, entonces sólo Tecla A puede descifrar

• Esta técnica es más valiosa cuando uno de los claves es privada y la otra es pública

• Problema: se requiere de cuatro teclas para contener un solo conversación entre dos partes, y el número de teclas crece geométricamente como partes se añaden

El cifrado de clave pública

Firmas digitales• Cuando se invierte proceso asimétrico, que el mensaje fue enviado por la organización propietaria de la clave privada no puede ser refutada (no repudio)

•Firmas digitales: Los mensajes cifrados son verificados como auténtico por la instalación independiente (Registro)

• Certificado digital: documento electrónico, similar a firma digital, que se adjunta al expediente de certificación que es un archivo de la organización que dice ser que no ha sido modificado a partir de formato original

•Autoridad de certificados (CA): la agencia que administra expedición de certificados

Firmas digitales (continuación)

Infraestructura de Clave Pública• Infraestructura de clave pública (PKI) es todo el conjunto de hardware, software y sistemas criptográficos necesarios para implementar el cifrado de clave pública

• Estos sistemas se basan en sistemas criptográficos de clave pública e incluir los certificados digitales y certificado autoridades

Infraestructura de Clave Pública (continuación)• Se puede aumentar la capacidad de una organización para proteger sus activos de información, proporcionando: - Autenticación: certificados digitales autentican la identidad de cada parte en una transacción en línea - Integridad: certificado digital afirma que el contenido firmado por el certificado no ha sido alterado en tránsito - Confidencialidad: mantiene la información confidencial asegurándose de que no es interceptada durante la transmisión - Autorización: Los certificados digitales pueden sustituir usuario IDs y contraseñas, mejorar la seguridad, y reducir los gastos generales - No repudio: certificados validan las acciones

Sistemas Híbridos• El cifrado de clave asimétrica pura no se utiliza ampliamente excepto en el área de los certificados, en su lugar, por lo general el empleado en conjunción con clave simétrica en elcifrado, ponen en función la creación de un sistema híbrido

• El proceso híbrido actualmente en uso se basa en el Diffie-Hellman de intercambio de claves, que proporciona método para el intercambio de claves privadas usando un cifrado público de clave sin exposición a terceros

• En este método, el cifrado asimétrico se utiliza para las teclas de intercambio simétrico, por lo que dos entidades pueden realizar las comunicaciones rápidas, eficientes y seguras basado en el cifrado simétrico, Diffie-Hellman a proporcionado la base para la posterior evolución del cifrado de clave pública

Cifrado híbrido ( continuación)

El uso de controles criptográficos• Una generación de texto cifrado irrompible es posible sólo si la infraestructura de gestión de claves adecuado se ha construido y los criptosistemas son operados y administrados correctamente

• Los controles criptográficos pueden ser utilizados para el apoyo varios aspectos del negocio: - La confidencialidad y la integridad de e-mail y sus archivos adjuntos - Autenticación, confidencialidad, integridad y el no repudio de las transacciones de comercio electrónico - Autenticación y confidencialidad de distancia acceso a través de conexiones VPN - Mayor nivel de autenticación cuando se utiliza para sistemas de control de acceso suplemento

Fijación de la Web• Secure Electronic Transactions (SET) - Desarrollado por MasterCard y Visa en 1997 a proporcionar protección contra el fraude de pago electrónico - Cifra transferencias de tarjeta de crédito con DES y usos RSA para intercambio de claves

• Secure Sockets Layer (SSL) - Creado por Netscape en 1994 para proporcionar de seguridad para el comercio electrónico en línea y sus transacciones - Utiliza varios algoritmos, se basa principalmente en RSA para la clave de transferencia y de IDEA, DES, 3DES o para la transferencia de datos a base de clave simétrica cifrada

Fijación de la Web (continuación)• Seguridad IP (IPSec): primario y ahora dominante producto de autenticación y encriptación criptográfica del Grupo de Trabajo de Seguridad de Protocolo IP del IETF

• IPSec combina varios sistemas criptográficos diferentes: - Diffie-Hellman de intercambio de claves para derivar el material de clave entre pares sobre una red pública - La criptografía de clave pública para firmar el Diffie-Hellman de intercambios para garantizar la identidad de las dos partes - Algoritmos de cifrado a granel para cifrar los datos - Los certificados digitales firmados por una autoridad de certificación para actuar como tarjetas de identificación digitales

Fijación de la Web (continuación)• IPSec tiene dos componentes: - El propio protocolo de seguridad IP, que especifica la información que se añade a un paquete IP y indica cómo cifrar datos por paquetes - El intercambio de claves de Internet, que utiliza intercambio de claves asimétricas y negocia la asociaciones de seguridad

Fijación de la Web (continuación)• IPSec funciona en dos modos de funcionamiento: - Modo de transporte: sólo datos IP se cifran no la IP en las cabeceras; permite la intermediación de nodos para leer las direcciones de origen y de destino - El modo de túnel: todo el paquete IP se cifra y se insertado como carga útil en otro paquete IP

• IPSec y otras extensiones criptográficas a TCP / IP utilizan a menudo para apoyar una red privada virtual (VPN), una red privada y segura operado en una red pública, insegura

Asegurando la autenticación• Un uso final de los sistemas criptográficos es proporcionar autenticación mejorada y segura

• Un enfoque para este problema es proporcionado por Kerberos, que utiliza el cifrado de clave simétrica para validar el acceso de un usuario individual a diversas recursos de la red

• Se mantiene una base de datos que contiene las claves privadas de los clientes y servidores que están en el dominio de autenticación que supervisa

Kerberos• El sistema Kerberos conoce estas claves privadas y puede autenticar un nodo de red (cliente o servidor) a otro

• Kerberos también genera una sesión temporal de claves, es decir, las claves privadas dan a las dos partes en una conversación

Kerberos (continuación)

Kerberos (continuación)

Ataques a Criptosistemas• Históricamente, los intentos de ganar acceso no autorizado a las comunicaciones sevhan utilizado ataques de fuerza bruta en el que el texto cifrado es repetidamente buscado para encontrar pistas que pueden conducir a la estructura del algoritmo (ataques de texto cifrado)

• Este proceso, conocido como análisis de frecuencia, puede ser utilizado junto con la frecuencia publicada de patrones de ocurrencia de diversos lenguajes y puede permitir a un atacante experimentado de forma rápida romper casi cualquier código si el individuo tiene un muestra lo suficientemente grande del texto codificado

Ataques a Criptosistemas (continuación)• De vez en cuando, un atacante puede obtener textos duplicado, uno en texto cifrado y una en texto plano, que la persona pueda realizar ingeniería inversa del algoritmo de cifrado en un texto plano conocido como esquema de ataque

• Por otra parte, un atacante puede realizar una seleccion de texto plano de ataque mediante el envío de una potencial víctima con un texto específico que están seguros de que la víctima remitirá a los demás, el atacante intercepta el mensaje y el cifrado lo compara con el texto claro original

Ataques a Criptosistemas (continuación)• El ataque Man-in-the-middle : método utilizado para interceptar la transmisión de una clave pública o incluso insertar una estructura clave conocida en lugar de la clave pública solicitada

• Ataques de correlación: colección de fuerza bruta y métodos que intentan deducir estadística, relaciones entre la estructura de la llave desconocida y el texto cifrado que es la salida del criptosistema

Ataques a Criptosistemas (continuación)• En un ataque de diccionario, el atacante encripta cada palabra en un diccionario utilizando el mismo criptosistema como el usado por el objetivo

• En un ataque de oportunidad, el atacante hace eavesdrops durante la sesión de la víctima y utiliza estadística de análisis de los patrones de tipificación del usuario y interkeystroke tiempos para discernir sesión sensibles información

Defensa de los ataques• No importa cuán sofisticada la encriptación y los criptosistemas se han convertido, sin embargo, se han conservado el mismo defecto que la primera sistemas contenían miles de años atrás: si a descubrir la clave, es decir, el método utilizado para realizar el cifrado, se puede determinar el mensaje

• Por lo tanto, la gestión de clave no es tanto la la gestión de la tecnología, sino más bien la gestión de personas

Resumen• Encriptación: proceso de prestación de información ilegible para todos menos para los destinatarios; el propósito es el de preservar la integridad y confidencialidad de la información y realizar el proceso de autenticación de los usuarios más eficaz

• Los cortafuegos utilizan cifrado tanto para proporcionar protección de los datos en tránsito.

• El cifrado de datos se incurre en costos, ya que requiere tiempo de procesamiento para cifrar y descifrar los datos protegida

Resumen• Criptología: ciencia de la encriptación

• Criptografía: complejo proceso de adopción y el uso de códigos

• Aplicar técnicas de ocultación en el cifrado y texto cifrado de descodificación se llama descifrado

• Proceso usado para descifrar los datos cuando el proceso y / o las teclas no se conocen se llama criptoanálisis

• Controles criptográficos: técnicas y herramientas utilizadas para implementar protecciones criptográficas; utilizado para asegurar el correo electrónico, acceso a la Web, aplicaciones Web, archivo transferencias, los procedimientos de acceso remoto como VPNs

Resumen• Sistemas de control criptográficas menudo sujetos a ataque

• Muchos métodos de ataque han evolucionado - Enfoques computacionales Brute - Uso de los puntos débiles a menudo en implementación de controles criptográficos

• Algunos ataques intentan inyectarse entre las partes de un asegurado canal de comunicación

• Otros ataques se combinan la fuerza bruta múltiple enfoques en un solo ataque de correlación