Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
TEMA EXPOSICIÓN 1. UNIDADES DE PODER ININTERRUMPIDO (UPS) 1. ¿QUÉ ES UN UPS? El ups es una sigla que en inglés significa uninterruptible power supply, como ya dijimos anteriormente y el significado en español es sistema de alimentación ininterrumpida o sai, que igualmente lo explicamos.Es un artefacto que a su vez es una fuente de energía eléctrica que suministra o abastece al computador, está contiene una batería que seguirá emergiendo electricidad en el caso que haya un corte de luz o un problema eléctrico en la infraestructura. 2. HISTORIA 1973: primer protocolo de sai, fabricado por la empresa “salicrus”. 1977: las UPS de la empresa salicrus fueron exportadas a Europa y se creo una nueva delegación comercial en Madrid. 1983: se inicia la segunda generación de los SAI. 1987: SALICRUS fabrica SAIs para hp, Olivetti, Philip, nixdorf y mas. 2004: la llegada de los UPS por parte de la empresa salicrus que también brinda soporte a un proyecto de electrificación fotovoltaicas para escuelas rurales en Perú. 3. FUNCIONAMIENTO DE UN UPS Sabemos que el ups dará energía por unos minutos más para que el trabajador tenga el tiempo necesario para guardar archivos de importancia y apagar el ordenador de la correcta forma. y es que algunos de estos ups están diseñados para hacer labores automáticas, como por ejemplo actuar de forma inmediata cuando haya un corte de electricidad y el usuario o trabajador no se encuentre en el área. 4. TIPOS DE UPS 1. UPS OFFLINE fallos de alimentación caídas de tensión. picos de corriente, sobretensiones y subtensiones. 2. UPS LINE INTERACTIVE fallos de alimentación, caídas de tensión., picos de corriente, sobretensiones y subtensiones.,infra tensiones prolongadas., sobretensiones prolongadas 3. UPS ONLINE fallos de alimentación, caídas de tensión., picos de corriente, sobretensiones y subtensiones., infra tensiones prolongadas., sobretensiones prolongadas., distorsiones en la onda de la línea., variaciones en las frecuencias., micro cortes., distorsión armónica. 5. UPS STAND BY Estos tipos de ups de alimentación eléctrica es el más usado en los ordenadores personales. el tiempo de conmutación de este tipo de ups es de cinco milisegundos, por lo que resulta imperceptible para la mayoría de equipos caseros. el inversor de los ups standby solo se activa cuando falla la fuente de alimentación. por ello reciben el nombre de “espera” en inglés. 6. INTERACTIVOS Los ups interactivos son los más utilizados en las pequeñas empresas, servidores de departamentos y web. en este caso, el ups se activa cuando el flujo de energía que entra en el sistema electrónico disminuye. de esta forma, el inversor está siempre conectado a la salida, solucionando el problema del tiempo de conmutación de los ups standby 7. EN LÍNEA DE DOBLE CONVERSIÓN Esta tipología es la que mayor protección que ofrece a los equipos. esto se debe a que los aísla de la red eléctrica mediante sus convertidores de potencia. se denominan de doble conversión porque el sistema convierte la corriente alterna de la red eléctrica en corriente continua en forma de red. y después, esa corriente continua la convierte en corriente alterna. 8. CONVERSIÓN DELTA ON-LINE Este tipo de ups intenta solucionar algunos de los problemas del ups de doble conversión cuando funciona en línea. este sistema tiene siempre el inversor del suministro de la tensión de carga en funcionamiento. pero su diferencia con el anterior es que el convertidor delta también regula la potencia de salida del inversor 9. TOPOLOGÍAS ON-LINE SIN BYPASS En esta topología, el ups general se pone a funcionar en el modo on-line pero se remueve la trayectoria completa de potencia de respaldo; el resultado es como se muestra: El UPS tipo on-line sin bypass 10. DIFERENCIA ENTRE LAS UPS (STAND BY Y ON-LINE) Una diferencia interesante entre los modos de operación stand by y on-line para el ups general es el funcionamiento durante una falla de energía de entrada. en el caso de la operación stand by, el switch de transferencia debe operar para cambiarse a la fuente de energía batería/inversor. sin embargo, en el caso de la operación on-line, la falla de la entrada AC no es la fuente primaria, sino la fuente de respaldo. por lo tanto, durante una falla de la energía de entrada, la operación on-line no genera tiempo de transferencia. 11. CÁLCULO DE LA CAPACIDAD DE UN UPS DE ALTAS CAPACIDADES P proy = P dis x fc / fu En donde: P proy = Capacidad total del proyecto P dis = Capacidad básica de diseño fc = Factor de crecimiento fu = Factor de utilización P proy = 100 kVA x 1,13 / 0,85 = 133 kVA En este caso debemos de especificar una capacidad de UPS de 150 kVA que es la capacidad superior más cercana. 12. UPS se compone de: - RECTIFICADOR: rectifica la corriente alterna de entrada, proveyendo corriente continua para cargar la batería. - CARGADOR O BATERÍA: se encarga de suministrar la energía en caso de interrupción de la corriente eléctrica. - INVERSOR: transforma la corriente continua en corriente alterna, la cual alimenta los dispositivos conectados a la salida del ups . - CONMUTADOR (BY-PASS) DE DOS POSICIONES: permite conectar la salida con la entrada del ups (by pass) o con la salida del inversor 2. DISPOSITIVOS CENTINELA 1. ¿DISPOSITIVOS CENTINELA? Es un sistema de seguridad basado en hardware el cual brinda protección al software contra la piratería y el uso ilegal, permitiendo el acceso y ejecución únicamente cuando la llave está conectada al PC. Las llaves contienen un motor de cifrado de alta seguridad en el cual todo el proceso se realiza dentro del hardware sin abandonar en ningún momento la llave. 2. HISTORIA A finales de la década de 1970 y principios de la década de 1980, Wordcraft se convirtió en el primer programa en utilizar un dispositivo de protección de software. El dongle era pasivo, utilizando un registro de desplazamiento de 8 bits de 74LS165 conectado a uno de los dos puertos de casete de cinta en la microcomputadora Commodore PET . Un dongle de puerto paralelo Rainbow Tech PCB, lado frontal. Tenga en cuenta los números borrados de los chips para dificultar la ingeniería inversa Los dongles se convirtieron rápidamente en dispositivos activos que contenían un transceptor en serie ( UART ) e incluso un microprocesador para manejar transacciones con el host. Las versiones posteriores adoptaron la interfaz USB, que se convirtió en la opción preferida sobre la interfaz en serie o en paralelo. 3. PLATAFORMAS DE DESARROLLO SOPORTADAS Borland C++ Builder, Visual Basic, CA Visual Objet, ASP/PHP/JAVA, Visual C ++, Borland ++, Clarion, Visual Studio.Net, Visual Fox Delphi 4. LENGUAJES DE PROGRAMACIÓN SOPORTADOS VC++, VB, VC.NET, VB.NET, C, C#, Java, Delphi, Fortran, Access, ActiveX, Arx, BCB,Clarion, dBase, Director, FileMaker, LabView, LabWindows, Matlab, MinGW,NSIS, PowerBuilder, PureBasic, RealBasic, VisualFoxPro, WinDEV 5. PRODUCTOS HASP H3/H4/HL/SRM, SHK, MARX CriptoBox, Eutron Smartkey 3, WIBU BOX/KEY, Wibu Codemeter (CmStick), DINKEY 2, ROCKEY 2/4/4ND, KEYLOK 2/3, UNIKEY, FlexLM/FlexNET 6. MÉTODOS PARA PROTEGER PROTECCIÓN AUTOMÁTICA La protección automática' no requiere hacer cambios en el código fuente porque protege directamente al ejecutable agregándole un complejo mecanismo de 'Anti- hacking' y 'Anti-debugging'. Además, la aplicación protegida queda cifrada para evitar la 'Ingeniería Inversa' utilizada para obtener código fuente a partir de un ejecutable. ENCRIPCIÓN AUTOMÁTICA + API Un sistema de seguridad de dongles tipo hard lock combina tanto la API y el método de encripción Automática para lograr el más alto nivel en la protección de su software. PROTECCIÓN MANUAL La protección manual implica insertar en el código fuente llamando a funciones exportadas por una DLL de protección utilizando un API para realizar el proceso de protección. Medianteesta interfaz, puede leerse el contenido de la memoria de la llave para adecuar el funcionamiento del programa protegido. 7. ENCRIPTACIÓN BASADA EN HARDWARE Y LA BASADO EN SOFTWARE -Utiliza un procesador específico que se encuentra físicamente en el dispositivo encriptado -Se obtiene mejor rendimiento al no exigir que el sistema huésped realice la encriptación -Claves de seguridad y parámetros de seguridad crítica dentro del hardware de encriptación -Económico en entornos de aplicaciones medias y mayores, fácilmente escalable -Comparte los recursos informáticos para encriptar los datos con otros programas en el equipo – Solo tan seguro como su equipo -Utiliza la contraseña del usuario como código de encriptación que encripta los datos -Puede necesitar actualizaciones de software -Susceptible a ataques con fuerza bruta. El equipo intenta limitar el número de intentos de descifrado pero los hackers pueden acceder a la memoria del equipo y reiniciar el contador de intentos -La encriptación está vinculada a un dispositivo específico, así que la encriptación siempre está activada -No necesita ningún tipo de instalación de controladores o instalación de software en la PC huésped -Económico en entornos con pequeñas aplicaciones -Se puede utilizar en todo tipo de medios de comunicación 8. HERRAMIENTAS Y UTILIDADES ENVELOPER Es una herramienta de encriptado automático de Ejecutables (archivos DLL, EXE, OCX y ARX). No necesita escribir ni una sola línea de código para proteger sus aplicaciones, sólo elegir los archivos con su Mouse, y luego podrá encriptarlos con este programa (encontrará mayor información en el Manual del Usuario de Rockey4ND). EDITOR Es una herramienta diseñada para ayudar al desarrollador a codificar, editar, modificar, testear y escribir el contenido que Ud. decida dentro del dongle Rockey4ND. Es la herramienta que lo ayuda a desarrollar programas de encripción. Con la misma podrá setear y establecer los algoritmos de encripción, modularizar su aplicación e incorporar diferentes modelos de licenciamiento exclusivo para cada uno de sus clientes. TIPOS DE PROTECTOR DE SOFTWARE Monousuario. Multiusuario. Multiusuario con RTC. 3. ALMACENAMIENTO REDUNDANTE Y DISTRIBUIDO (RAID) 1. (RAID) RAID (Redundant Array of Independent Disks, conjunto redundante de discos independientes) consiste en un conjunto de técnicas hardware o software que utilizando varios discos proporcionan principalmente tolerancia a fallos, mayor capacidad y mayor fiabilidad en el almacenamiento. Se trata de un sistema de almacenamiento que utilizando varios discos y distribuyendo o replicando la información entre ellos. 2. TIPOS DE RAID RAID 0 Un RAID 0, conocido como striping, utiliza como mínimo 2 discos y reparte los datos entre ambos. Ofrece un mayor rendimiento. No debe utilizarse con datos críticos. El inconveniente es que no hay redundancia y tolerancia a fallos, por lo que cualquier fallo o avería en uno de los discos conlleva una pérdida total de los datos. RAID1 Es conocido como “espejo” o “mirroring“. El raid 1 utiliza 2 discos y duplica todos los datos de la primera unidad de forma sincronizada a una segunda unidad de almacenamiento. De esta forma, si el primer disco se estropea, el sistema seguirá funcionando y trabajando con el segundo disco sin problemas y sin perder datos. RAID 5 Se necesitan como mínimo 3 El espacio disponible en el RAID 5 será de n-1, siendo n el número de discos del raid. Si utilizamos 5 discos de 1TB tendremos: 5 discos – 1 = 4 discos -> 4TB disponibles. El RAID 5 utiliza la paridad para recuperar los datos. Se dividen los datos en bloques en los diferentes discos, de forma que si hay un fallo en uno de ellos, esa parte de los datos se subsana con los datos almacenados en el resto de los discos, permitiendo al usuario continuar con su trabajo. RAID 6 Se necesitan como mínimo 4 discos. Puede tolerar dos fallos de discos duros (N-2)El Raid6 es similar a la Raid 5 e incluye un disco de reserva que entra en funcionamiento una vez que uno de los discos se estropea RAID10 (RAID 1+0) En el RAID 1+0—> Se hace un Raid 1 y sobre ellos un RAID 0 Se necesitan un mínimo de cuatro o más unidades, por lo que el coste es más elevado que en otras configuraciones. a cambio obtenemos un alto rendimiento de lectura (gracias al Raid 0), a la vez que se proporciona tolerancia a los fallos (gracias al Raid1). Si usamos 4 discos, se pueden romper hasta dos sin perder información (N-2), siempre que nos sean del mismo subgrupo. RAID 50 (RAID 5+0) Se necesitan como mínimo 6 discos. s*( n-1). con la posibilidad de que se puedan estropear hasta 3 discos sin perder datos. En el Raid 5+0—> Se hace un Raid 5 y sobre ellos un RAID 0. Con el RAID 50 conseguiremos un volumen muy robusto, un mayor rendimiento de lectura en comparación con la RAID 5 estándar, y un rendimiento de escritura de medio a alto. RAID 60 (RAID 6+0) En el Raid 6+0—> Se hace un Raid 6 y sobre ellos un RAID 0. Obtenemos un alto rendimiento sobre todo en tareas de lectura. Las desventajas son las mismas a las del RAID6 (rendimiento más bajo en escritura debido a los dos cálculos de paridad, y mayor gasto en hardware). RAID 0+1 Necesitaremos 4 discos duros. Los discos se agrupan por parejas para que cada una de éstas forme un RAID 0 y sobre estos 2 bloques montamos un Raid 1. Esta configuración es menos segura que la RAID 10, ya que no tolera dos fallos simultáneos RAID NIVEL 4 (RAID 4) Este RAID no es muy corriente actualmente. Es como el RAID 5, con la diferencia de que toda la información de paridad está en un sólo disco y en el resto solo hay datos. 4. SISTEMAS DE SEGURIDAD PERIMETRAL FÍSICO 1. QUÉ ES LA SEGURIDAD PERIMETRAL INFORMÁTICA? La seguridad perimetral informática no deja de tener el mismo significado que la general. De hecho, también son todos los sistemas destinados a proteger de intrusos tu perímetro. La única diferencia es que, en lugar de un espacio físico, se protegen las redes privadas de tu sistema informático. Se trata de una primera línea de defensa, igual que las alarmas de una oficina. La seguridad total no existe ni en el mundo físico ni en el informático, pero reduce muchísimo el riesgo a que nos roben nuestros datos o, incluso, que puedan desaparecer. 2. FUNCIONES DE UNA BUENA SEGURIDAD PERIMETRAL INFORMÁTICA La seguridad perimetral que protege tus redes debe cumplir cuatro funciones básicas: – Resistir a los ataques externos. – Identificar los ataques sufridos y alertar de ellos. – Aislar y segmentar los distintos servicios y sistemas en función de su exposición a ataques. – Filtrar y bloquear el tráfico, permitiendo únicamente aquel que sea absolutamente necesario. 3. HERRAMIENTAS DE SEGURIDAD PERIMETRAL INFORMÁTICA Igual que para proteger tu casa, en informática tienes varias formas de establecer una seguridad perimetral. CORTAFUEGOS Los cortafuegos definen, mediante una política de accesos, qué tipo de tráfico se permite o se deniega en la red. Existen varios tipos de cortafuegos: – A nivel de pasarela: para aplicaciones específicas. – De capa de red: filtra por IP origen/destino. – De capa de aplicación: según el protocolo a filtrar. – Personal: para sistemas personales como PC o móviles. SISTEMAS DE DETECCIÓN Y PREVENCIÓN DE INTRUSOS Son dispositivos que monitorizan y generan alarmas cuando hay alertas de seguridad. Su actuación sigue estos pasos: 1. Identificación de un posible ataque. 2. Registro de los eventos. 3. Bloqueo del ataque. 4. Reporte a los administradores y sistemas de seguridad. HONEYPOTS Se trata de una trampa para atraer y analizar ataques de bots y hackers. De esta forma se pueden detectar a tiempo y recoger información que servirá para evitar ataques en un futuro hacia sistemas más importantes. Evidentemente, deben estar muy controladosy permanecer desconectados de cualquier red propia. PASARELAS ANTIVIRUS Y ANTISPAM Se trata de sistemas intermedios que filtran el contenido malicioso que quiere entrar a nuestras redes. Sobre todo, se detectan los malware en pasarelas web y servidores de correo, evitando que lleguen a afectar los sistemas privados. 5. MALWARE ¿QUÉ ES EL MALWARE? El término malware (también conocido como software malicioso o software malintencionado) hace referencia a todo tipo de programas diseñados específicamente para dañar un ordenador o una red o para obtener algún tipo de beneficio o hacer mal uso del mismo. El malware en muchos casos se instala en nuestro ordenador sin nuestro conocimiento, generalmente a través de descargas o enlaces de carácter engañoso que simulan ser contenido en el que podríamos estar interesados. Una vez que el malware se ha instalado en el ordenador, las personas que tienen el control en muchas ocasiones pueden intentar acceder a nuestra información personal. A veces registran nuestras pulsaciones de teclas (keylogging) o controlan la actividad de nuestro equipo, pudiendo forzarlo a visitar determinados sitios web, enviar correos electrónicos o realizar otras acciones sin nuestro conocimiento. Los efectos del malware pueden ser tan inofensivos como una pequeña molestia o tan graves como un robo de identidad, con todo el perjuicio que ello nos puede causar. 2. TIPOS DE MALWARE Y TÉCNICAS DE INFECCIÓN MÁS COMUNES VIRUS: es un tipo de malware cuya finalidad es la de alterar el funcionamiento normal de nuestro equipo, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados y pueden destruir de manera intencionada datos almacenados en un ordenador, aunque en otros casos son más inofensivos y solo se caracterizan por ser molestos. GUSANOS (WORMS): similares a los virus, los gusanos son programas informáticos malintencionados que se replican automáticamente, usando una red informática para enviar copias de sí mismos a otros ordenadores de la red, pudiendo causar un enorme efecto en muy poco tiempo. TROYANOS: son programas destructivos que se hace pasar por una aplicación legítima e inofensiva. En teoría, este software parece realizar la función deseada por el usuario, pero por detrás y sin el conocimiento del usuario, roba información, daña el sistema o abre una puerta trasera para poder entrar al equipo de forma remota sin ser detectado. SOFTWARE ESPÍA (SPYWARE): es un software malintencionado que extrae información sobre los usuarios sin su conocimiento. Sus objetivos son muy determinados: básicamente el envío de datos del sistema donde están instalados y la apertura de puertas para el acceso al PC desde Internet. En muchos casos, quien accede puede ser una empresa de publicidad de Internet. Todas estas acciones, como en la mayoría de los casos de malware, son llevadas a cabo sin el conocimiento del usuario. SOFTWARE PUBLICITARIO (ADWARE): cualquier paquete de software que reproduce, muestra o descarga anuncios en nuestro ordenador de forma automática y sin nuestro consentimiento. ROGUE SOFTWARE Y RANSOMWARE: Los programas “rogue” hacen creer al usuario que su ordenador está infectada por algún tipo de virus u otro tipo de software malicioso, esto induce al usuario a pagar por un software inútil o a instalar un software malicioso que supuestamente elimina las infecciones y que el usuario realmente no necesita, puesto que no está infectado. ROOTKITS: Son conjuntos de programas que modifican el sistema operativo de nuestro PC para permitir que el malware permanezca oculto al usuario. Por ejemplo, los rootkits evitan que un proceso malicioso sea visible en la lista de procesos del sistema o que sus ficheros sean visibles en el explorador de archivos. Este tipo de modificaciones consiguen ocultar cualquier indicio de que el ordenador está infectado por un malware. BHO (BROWSER HELPER OBJECTS): son otro tipo de pequeños programas que pueden cambiar el funcionamiento habitual de nuestro navegador con fines diversos, en la mayoría de los casos, no deseados por el usuario. Los BHO son programas asociados al navegador Internet Explorer de Microsoft (plugins), que extienden sus funcionalidades. Ejemplos de BHO son barras adicionales que se añaden al navegador. ¿CÓMO LLEGA EL MALWARE HASTA NUESTRO PC? - Explotando una vulnerabilidad - Ingeniería social - A través de un archivo malicioso - Dispositivos extraíbles (ej: llaves USB) 6. ANTIMALWARE 1. QUE ES UN ANTIMALWARE El antimalware (anti-malware) es un tipo de programa diseñado para prevenir, detectar y remediar software malicioso en los dispositivos informáticos individuales y sistemas TI. Los términos antivirus y antimalware se utilizan a menudo como sinónimos ya que los virus informáticos son un tipo específico de malware. Por lo tanto, el antivirus y el anti-malware son lo mismo. 7. FIREWALL Y PROXY 1. ¿QUÉ ES UN FIREWALL? Un firewall o cortafuegos es un dispositivo de hardware o un software que nos permite gestionar y filtrar la totalidad de tráfico entrante y saliente que hay entre 2 redes u ordenadores de una misma red. 2. ¿CÓMO FUNCIONA UN FIREWALL? Un firewall funciona como una barrera entre internet u otras redes públicas y nuestra computadora. Todo el tipo de tráfico que no esté en la lista permitida por el firewall, no entra ni sale de la computadora. 1. Permitir únicamente las comunicaciones autorizadas explícitamente: “Todo lo que no es autorizado explícitamente está prohibido”. 2. Impedir cualquier comunicación que fue explícitamente prohibida. 3. Preservar nuestra seguridad y privacidad. 4. Para proteger nuestra red doméstica o empresarial. 5. Para tener a salvo la información almacenada en nuestra red, servidores u ordenadores. 6. Para evitar intrusiones de usuarios no deseados en nuestra red y ordenador. Los usuarios no deseados tanto pueden ser hackers como usuarios pertenecientes a nuestra misma red. 7.Para evitar posibles ataques de denegación de servicio. 3. TIPOS DE REGLAS QUE SE PUEDEN IMPLEMENTAR EN UN FIREWALL ❖ El tipo de reglas y funcionalidades que se pueden construir en un firewall son las siguientes: ❖ Administrar los accesos de los usuarios a los servicios privados de la red como por ejemplo aplicaciones de un servidor. ❖ Registrar todos los intentos de entrada y salida de una red. Los intentos de entrada y salida se almacenan en logs. ❖ Filtrar paquetes en función de su origen, destino, y número de puerto. Esto se conoce como filtro de direcciones. Así por lo tanto con el filtro de direcciones podemos bloquear o aceptar el acceso a nuestro equipo de la IP 192.168.1.125 a través del puerto 22. Recordar solo que el puerto 22 acostumbra a ser el puerto de un servidor SSH. ❖ Filtrar determinados tipos de tráfico en nuestra red u ordenador personal. Esto también se conoce como filtrado de protocolo. El filtro de protocolo permite aceptar o rechazar el tráfico en función del protocolo utilizado. Distintos tipos de protocolos que se pueden utilizar son http, https, Telnet, TCP, UDP, SSH, FTP, etc. ❖ Controlar el numero de conexiones que se están produciendo desde un mismo punto y bloquearlas en el caso que superen un determinado límite. De este modo es posible evitar algunos ataques de denegación de servicio. ❖ Controlar las aplicaciones que pueden acceder a Internet. Así por lo tanto podemos restringir el acceso a ciertas aplicaciones, como por ejemplo dropbox, a un determinado grupo de usuarios. ❖ Detección de puertos que están en escucha y en principio no deberían estarlo. Así por lo tanto el firewall nos puede advertir que una aplicación quiere utilizar un puerto para esperar conexiones entrantes. 4. TIPOS DE FIREWALL EXISTENTES Como hemos visto en la definición existen 2 tipos de firewall. Existen dispositivos de hardware firewall como por ejemplo un firewall cisco o Routers que disponen de esta función.Además los firewall por hardware acostumbran a implementar funcionalidades interesantes como pueden ser CFS , ofrecer tecnologías SSL o VPN, antivirus integrados, antispam. Cisco ASA serie 5500-X Los firewalls por software son los más comunes y los que acostumbran a usar los usuarios domésticos en sus casas. El firewall por software se instala directamente en los ordenadores o servidores que queremos proteger y solo protegen el ordenador o servidor en el que lo hemos instalado. Kaspersky, Norton, Bitdefender, F-Secure Sense, Zone Alarm Pro Firewall PROXY Un proxy, es un equipo intermedio (servidor, apliance, software…) que procesa las peticiones HTTP, aunque también puede procesar otros tipos de protocolos como FTP, HTTPS. 5. COMO FUNCIONA UN PROXY? ❖ El PC Cliente quiere ir a la página web ejemplo.com, utilizando el servidor proxy (este servidor puede estar en la misma red local o puede ser un servidor externo) ❖ En vez de enviar la petición directamente al servidor web de ejemplo.com, lo manda al servidor proxy. ❖ El Servidor proxy realiza la petición al servidor web ejemplo.com, para que le mande todo el contenido de la página web. ❖ El servidor web y el servidor proxy realizan varias peticiones de intercambio de información, hasta que el servidor proxy tiene toda la web. ❖ Finalmente, el servidor proxy sirve toda la página web de ejemplo.com al PC cliente. 6. PRINCIPALES FUNCIONES DE UN PROXY ❖ Protege al cliente ya que todas las peticiones las procesa el proxy y queda escondido detrás de él. ❖ Realiza funciones de cache para mejorar la velocidad de carga de las páginas web. ❖ Reduce las peticiones de cliente-servidor directamente. ❖ La página que visita el cliente no puede conocer la IP final del cliente. ❖ Pueden bloquear scripts, cookies… ❖ Realizan funciones de filtrado web ❖ Permiten navegar de forma anónima y protegida. 7. TIPOS DE PROXY PROXY WEB: Es el proxy que procesa las peticiones del cliente cuando intenta acceder a un sitio web. PROXY CACHE:Realiza casi las mismas funciones que el proxy web. Hace cache de las páginas que ya ha visitado cualquier cliente para servirlas directamente de los archivos que tiene guardados. Evita realizar peticiones de contenido que ya tiene guardado en cache. PROXY TRANSPARENTE:Son proxy que no hay que configurarlos directamente en el navegador web. Estos se aplican a nivel de red y no hace falta configurar nada en el cliente. Normalmente los utilizan los ISP para el filtrado de webs, entre otras funcionalidades. PROXY INVERSO: Realiza la función de un proxy web pero de manera inversa. En este caso el proxy recibe todas las peticiones de muchos clientes y los entrega a un servidor. Se utiliza para proteger servidores web de ataques DDoS, hacer balanceos de carga, entre otras funciones. PROXY NAT: Es un proxy a nivel de capa OSI más bajo. Se utiliza básicamente para enmascarar, ocultar o cambiar las IPs origen por una sola IP origen antes de realizar las peticiones. PROXY ABIERTO: utilizarlos. Si utilizas un servicio así, puede que los servidores te bloqueen porqué detecten que están realizando SPAM, ya que no controlan quien se conecta. 8. CRIPTOGRAFÍA Y CRIPTOLOGÍA 1. ¿QUÉ ES LA CRIPTOGRAFÍA? La palabra criptografía proviene en un sentido etimológico del griego Kriptos=ocultar, Graphos=escritura. La Criptografía es la ciencia encargada de diseñar funciones o dispositivos, capaces de transformar mensajes legibles o en claro a mensajes cifrados de tal manera que esta transformación (cifrar) y su transformación inversa (descifrar) sólo pueden ser factibles con el conocimiento de una o más llaves. 2. HISTORIA DE LA CRIPTOGRAFÍA El primer sistema criptográfico del que se tiene constancia es la Escítala. Este sistema data del siglo V a.c. y era usado en Esparta. Otro método posterior fue el utilizado por Polibios en el siglo II a.C. Estaba basado en el siguiente cuadro y consista en sustituir las letras por las parejas correspondientes a su posición. Por ejemplo la letra N se convertía en CD. Otro método de cifrado clásico es el conocido CIFRADO DE CESAR. Su nombre viene de la supuesta utilización por parte de Julio de César de este sistema. El cifrado de César es un cifrado de sustitución monoalfabética. (Romano) CIFRADO DE LIBRO: Era usado en la edad media, y consta de un libro con las palabras anotadas donde cada una tiene su referencia en número, para ser descifrado el receptor debía tener una copia igual al libro del emisor. Ya en el siglo XV es inventado un sistema de SUSTITUCIÓN POLIALFABÉTICA por Giovan Battista Bellaso. Este sistema es conocido como cifrado Vigenere, al haber sido atribuido por error a Blaise de Vigeniere. Con este sistema cada letra tiene una correspondencia única, haciendo más difícil el descifrado. REJILLA DE CARDANO. Es un sistema criptográfico renacentista ideado por Gerolamo Cardano hacia 1550. PRIMERA MAQUINA DE CIFRADO (Cilindro de Jefferson) : Los discos de Jefferson, o ruedas de cifrado, como Thomas Jefferson lo nombró, también conocido como Cilindro de Bazeries, es un sistema de cifrado que utiliza un conjunto de ruedas o discos, con las 26 letras del alfabeto distribuidas por el borde. El orden de las letras es diferente para cada disco procurando que sea aleatorio. Un agujero en el centro de los discos permite apilarlos en un eje único. En el siglo XX, a consecuencia de las dos guerras mundiales, la criptografía sufre un gran avance. En el año 1920 comenzó a usarse la máquina enigma. Su fama se debe a su uso por parte del ejército Alemán. Enigma hacía uso de partes mecánicas y eléctricas, era un mecanismo de cifrado rotatorio. La facilidad para cifrar, descifrar mensajes y la supuesta seguridad de este cifrado convierten a la máquina enigma en una pieza clave de la segunda guerra mundial. Los esfuerzos por romper Enigma impulsaron la criptografía y el criptoanálisis de una forma inimaginable. La maquina Typex: Su funcionamiento fue hecho público en el año 2000. 3. CLASIFICACIÓN DE LA CRIPTOGRAFÍA CRIPTOGRAFÍA CLÁSICA Las técnicas criptográficas eran muy ingeniosas y se usaban para enviar mensajes secretos entre las personas que tenían el poder o en época de guerra para enviar instrucciones. Los cifradores por transposición utilizan la técnica de permutación de forma que los caracteres del texto se reordenan mediante un algoritmo específico. (ejemplo el cifrado de cesar) Los cifradores por sustitución utilizan la técnica de modificación de cada carácter del texto en claro por otro correspondiente al alfabeto de cifrado. CRIPTOGRAFÍA MODERNA La criptografía moderna se puede clasificar en dos grandes grupos: la criptografía de llave secreta o asimétrica y la criptografía de llave pública o asimétrica. CRIPTOGRAFÍA SIMÉTRICA La criptografía simétrica o de llave secreta es aquella que utiliza algún método matemático llamado sistema de cifrado para cifrar y descifrar un mensaje utilizando únicamente una llave secreta. CRIPTOGRAFÍA SIMÉTRICA SIMETRICA POR BLOQUES Función unidireccional a bloque B y subllave k1. Se mezcla el bloque A con el resultado de la función XOR. Se permutan los bloques y se repite el proceso n veces. Se unen los dos bloques en el bloque original CRIPTOGRAFÍA ASIMÉTRICA Si se observa la siguiente figura, que ilustra la idea de criptografía de llave pública, se puede ver claramente que no existe simetría en ella, ya que de un lado de la figura se cifra o descifra con una llave pública y en el otro lado con una privada. De este hecho es de donde la criptografía asimétrica debe su nombre. 4. ¿POR QUÉ ES NECESARIA LA CRIPTOGRAFÍA? La criptografía siempre había estado vinculada al ámbito militar. ¿Por qué se hizo necesaria para el resto de la gente? Aunque el uso de comunicaciones seguras ha sido siempre una prioridad militar, la privacidad es requerida en otros sectores. Las empresas necesitan mantener unas comunicaciones seguras para protegersu información. Por esta razón el gobierno de EEUU y la NSA se ven obligados a crear DES. Aparte de a las empresas, se hace necesario otorgar al ciudadano privacidad y seguridad. Con el nacimiento de internet y la progresiva oferta de servicios telemáticos como acceso al banco, citas médicas y un sinfín de posibilidades se tiene que ofrecer confidencialidad y seguridad a estos servicios. 5. APLICACIONES DE LA CRIPTOGRAFÍA Seguridad de las comunicaciones Identificación y autentificación Certificación Comercio electrónico 9. CIFRADO DE CESAR 1. HISTORIA En el siglo I a. C. el general romano Julio César creó un sistema de encriptación muy simple, consistente en sustituir unas letras por otras. Más concretamente, la sustitución que Julio César utilizó consistía en asignar a cada letra del alfabeto la letra que estaba tres lugares más a su derecha, adoptando el criterio lógico de que tras la letra Z se empezaba de nuevo por la letra A. A pesar de ser uno de los métodos criptográficos más simples, el “cifrado de César” permitió a Julio César proteger sus mensajes importantes de las miradas no autorizadas. Consiste en substituir cada letra del mensaje por otra que se encuentre un número fijo de posiciones más adelante en el alfabeto, y aunque hoy puede ser “descifrado” hasta por un niño, hace 2000 años en un mundo en el que pocas personas sabían leer y escribir este mecanismo era considerado lo suficientemente seguro como para confiarle en la seguridad de un estado. El cifrado César mueve cada letra un determinado número de espacios en el alfabeto. En este ejemplo se usa un desplazamiento de tres espacios, así que una B en el texto original se convierte en una E en el texto codificado. El cifrado César se puede encontrar en la actualidad en algunos juguetes modernos, como los anillos decodificadores. En el algoritmo ROT13 se usa el cifrado César con un desplazamiento de 13,cifrado Vigenére un método simple para ofuscar el texto que se usa en algunos foros de internet para ocultar texto (como la línea final de un chiste o partes de una historia que no se quieren revelar), pero no se usa como método de codificación. ROT13 El nombre «ROT13» se originó en Usenet a principios de los años 1980, y el método se ha convertido en un estándar de facto. Al igual que el cifrado de César (un método de cifrado con miles de años), el ROT13 no proporciona seguridad criptográfica real y no se usa para tales fines; de hecho, a menudo se emplea como ejemplo canónico de cifrado débil. Otra característica de este cifrado es que se trata de un cifrado recíproco, para deshacer el ROT13 se aplica el mismo algoritmo, de manera que para cifrar y descifrar se puede utilizar el mismo código. EJEMPLO La transformación se puede representar alineando dos alfabetos; el alfabeto cifrado es un alfabeto normal que está desplazado un número determinado de posiciones hacia la izquierda o la derecha. Por ejemplo, aquí el cifrado César está usando un desplazamiento de seis espacios hacia la derecha: Texto original: ABCDEFGHIJKLMNÑOPQRSTUVWXYZ Texto codificado: GHIJKLMNÑOPQRSTUVWXYZABCDEF A continuación se muestra el alfabeto y la transformación que realiza este cifrado por sustitución de caracteres para el alfabeto castellano de 27 letras. 10. CIFRADO PIGPEN 1. QUE ES EL CIFRADO PIGPEN? El cifrado por sustitución llamado Pigpen, también conocido como el cifrado francmasón, masónico o el cifrado de tres en raya, este método cambia las letras por símbolos basándose en un diagrama. A pesar de que no realiza una sustitución sumando posiciones a las letras del alfabeto como en el cifrado del cesar, igual se puede realizar un criptoanálisis idéntico que el utilizado para otros métodos de cifrado por substitución simple 2. ANÁLISIS DE FRECUENCIA Consiste en el aprovechamiento de los estudios sobre la frecuencia de las letras o grupos de letras en los idiomas para poder establecer hipo tesis para aprovecharlas y así poder descifrar un texto cifrado sin tener la clave de descifrado. 3. ANTECEDENTES 1. No se sabe cuándo apareció, pero se cree que antes de 1531. 2. Fue utilizada tanto por los masones en el siglo XVIII para preservar la privacidad de sus archivos. 3. Se lo conoce también como el cifrado rosacruz , pues se le atribuye a un grupo religioso esotérico o sociedad secreta de la Alemania medieval. 4. El método fue desarrollado por los francmasones a principios de los años 1700 para mantener registros y para la correspondencia. También se pueden encontrar lápidas de masones que utilizan el sistema como parte de los grabados 5. Durante la Guerra Civil Americana, el sistema fue utilizado por prisioneros de la Unión en prisiones confederadas. 6. En 1533, Heinrich Cornelius Agrippa publica el DE OCCULTAPHILOSOPHIA,donde describe su cifra de sustitución mono alfabética, hoy conocida como Cifra Pig Pen. La traducción literal del nombre es Cerdo en el Chiquero y viene del hecho de que cada una de las letras (los cerdos) es colocada en una "casa" (el chiquero). 4. HISTORIA • 1. La criptografía es casi tan antigua como las primeras civilizaciones de nuestro planeta. Ya en el siglo V antes de J.C. se usaban técnicas de cifra para proteger a la información. Se pretendía garantizar sólo la confidencialidad y la autenticidad de los mensajes. • Los mayores avances se lograron en la Segunda Guerra Mundial: los países en conflicto tenían un gran número de técnicos encargados de romper los mensajes cifrados de los teletipos. 5. ¿COMO FUNCIONA? Las letras del alfabeto son dispuestas en dos grupos de 9 y dos grupos de 4 letras, separadas por líneas, como es mostrado abajo.El mensaje tiene un máximo de 26 caracteres distintos. El proceso de cifrado es bastante sencillo y reemplaza cada aparición de una letra con el símbolo designado. Los símbolos se asignan a las letras mediante la tecla que se muestra a continuación, donde la letra que se muestra se reemplaza por la parte de la imagen en la que se encuentra. Es decir Para encriptar, se busca la letra en una de las cuatro casillas y se escribe su posición: VENTAJAS - Fácil de aprender y recordar - Fácil de encriptar y desencriptar - Consume poco tiempo - Es flexible - Fácil de memorizar DESVENTAJAS • Fácil de desencriptar y recordar la clave • Poco segura y débil • Fácil de reconocer • es monoalfabético (lo que significa que solo hay un alfabeto asignado a un símbolo), por lo que los hackers pueden descifrar el código fácilmente 11. CIFRADO DE VIGENERE 1. ANTECEDENTES El primer cifrado poli alfabético fue creado por Leone Battista Alberti hacia 1467 y usaba un disco de metal para cambiar entre los diferentes alfabetos del cifrado. El sistema de Alberti sólo cambiaba entre alfabetos después de muchas palabras, y los cambios se indicaban escribiendo la letra del correspondiente alfabeto en el mensaje cifrado. Más tarde, en 1508, Johannes Trithemius, en su trabajo Poligraphia, inventó la tabula recta, que es básicamente la tabla de Vigenère. Trithemius, sin embargo, sólo proporcionó un progresivo, rígido y predecible sistema de cambio entre alfabetos. 2. CONCEPTO El cifrado Vigenère es un cifrado basado en diferentes series de caracteres o letras del cifrado César formando estos caracteres una tabla, llamada tabla de Vigenère, que se usa como clave. El cifrado de Vigenère es un cifrado poli alfabético y de sustitución. Este cifrado es conocido porque es fácil de entender e implementar, además parece irresoluble; esto le hizo valedor del apodo el código indescifrable (le chiffre indescifrable, en francés). 3. CARACTERÍSTICA Método de cifrado polialfabético (se utilizan alfabetos de cifrado para cada letra) Criptosistema simétrico (utiliza la misma clave para cifrar y descifrar) Clave: secuencia de símbolos del alfabeto (Ejemplo: SOL). 4. EXPLICACIÓN. En segundo lugar se escoge una palabra como clave con laque cifrar. La palabra puede ser de cualquier longitud. Para este ejemplo usaremos como clave la palabra SOL. Una vez tengamos el mensaje a cifrar y la clave la pasamos a números siguiendo la tabla anterior. En este caso nuestra clave en números sería 18 14 11. Por último pasamos el mensaje a letras siguiendo la primera tabla. Mensaje cifrado en letras: Z D W S. Nota: El módulo X sobre un número Y se realiza de la siguiente manera: Y moduloX = Y - X*B. En el caso anterior 28 - 26*1 = 2. B es el número de veces que podemos multiplicar X sin que pase del valor de Y. En este caso es 1 ya que 26*2 > 28. Sumamos la clave a los dígitos del mensaje. Repetimos la clave las veces que sea necesaria hasta cubrir todo el mensaje. Por ejemplo si queremos cifrar el mensaje hola (7 14 11 0) haríamos las siguientes sumas: El resultado de las sumas nos devuelve el mensaje cifrado. Resultado de las sumas: 25 28 22 18 DESCIFRADO. En el descifrado lo único que hay que hacer es restarle al mensaje cifrado la clave. En nuestro caso: El resultado de las restas nos devuelve el mensaje descifrado. Resultado de las restas: 7 -12 11 0. En caso de que salga un número negativo hay que hacer el módulo. -12 modulo 26 = 14 12. CIFRADO DE HILL 1. CRIPTOSISTEMA HILL Este sistema esta basado en el álgebra lineal y ha sido importante en la historia de la criptografía. Fue Inventado por Lester S. Hill en 1929, y fue el primer sistema criptografico polialfabético que era práctico para trabajar con mas de tres símbolos simultaneamente. Este sistema es polialfabético pues puede darse que un mismo caracter en un mensaje a enviar se encripte en dos caracteres distintos en el mensaje encriptado. Suponiendo que trabajamos con un alfabeto de 26 caracteres. Las letras se numeran en orden alfabético de forma tal que A=0, B=1, ... ,Z=25 Se elije un entero d que determina bloques de d elementos que son tratados como un vector de d dimensiones. Se elije de forma aleatorea una matriz de d × d elementos los cuales seran la clave a utilizar. Los elementos de la matriz de d × d serán enteros entre 0 y 25, además la matriz M debe ser inversible en z. Para la encriptación, el texto es dividido en bloques de d elementos los cuales se multiplican por la matriz d × d Todas las operaciones aritméticas se realizan en la forma modulo 26, es decir que 26=0, 27=1, 28=2 etc. Dado un mensaje a encriptar debemos tomar bloques del mensaje de "d" caracteres y aplicar: M×Pi=C, donde C es el código cifrado para el mensaje Pi Si tomamos la matriz como matriz de claves. Ejemplo: Si tomamos la matriz como matriz de claves. Para encriptar el mensaje "CODIGO" debemos encriptar los seis caracteres de "CODIGO" en bloques de 3 caracteres cada uno, el primer bloque El primer bloque "COD" se codificara como "WLP" El segundo bloque "IGO" se codificara como "GSE" Luego 'CODIGO' encriptado equivale a 'WLPGSE'. Observar que las dos "O" se codificaran de forma diferente. Para desencriptar el método es idéntico al anterior pero usando la matriz inversa de la usada para encriptar. Cálculo de la matriz inversa Antes que nada debemos verificar que la matriz elegida sea invertible en modulo 26. Hay una forma relativamente sencilla de averiguar esto a través del cálculo del determinante. Si el determinante de la matriz es 0 o tiene factores comunes con el módulo (en el caso de 26 los factores son 2 y 13), entonces la matriz no puede utilizarse. Al ser 2 uno de los factores de 26 muchas matrices no podrán utilizarse (no servirán todas en las que su determinante sea 0, un múltiplo de 2 o un múltiplo de 13) Para ver si es invertible calculo el determinante de A 5 (23 · 13 – 3 ·11) – 17 (9 · 13 – 3 · 2) + 20 (9 · 11 – 23 · 2) = 1215 – 1734 + 1060 = 503 503 = 9 mod 26 La matriz A es invertible en modulo 26 ya que 26 y 9 son coprimos Para hallar la inversa de la matriz modulo 26, utilizamos la formula Donde CT es la matriz de cofactores de A transpuesta Hay que tener en cuenta que debe realizarse en modulo 26 por lo tanto para el ejemplo la inversa de 9 (mod 26) es 3 (mod 26) ya que 9 (mod 26) · 3 (mod 26) = 27 mod 26 = 1 (mod 26) Por lo tanto 3 es la inversa multiplicativa de 9 en modulo 26 Para calcular C hay que calcular los cofactores de A Ahora aplicamos la formula de la inversa Esta última es la matriz que utilizamos para desencriptar. 13. CIFRADO DES 1. HISTORIA DES (Data Encryption Standard) es un esquema de encriptación simétrico desarrollado en 1977 por el Departamento de Comercio y la Oficina Nacional de Estándares de EEUU en colaboración con la empresa IBM, que se creó con objeto de proporcionar al público en general un algoritmo de cifrado normalizado para redes de ordenadores. Estaba basado en la aplicación de todas las teorías criptográficas existentes hasta el momento, y fue sometido a las leyes de USA. Posteriormente se sacó una versión de DES implementada por hardware, que entró a formar parte de los estándares de la ISO con el nombre de DEA. 2. QUE ES Se basa en un sistema mono alfabético, con un algoritmo de cifrado consistente en la aplicación sucesiva de varias permutaciones y sustituciones. Inicialmente el texto en claro a cifrar se somete a una permutación, con bloque de entrada de 64 bits (o múltiplo de 64), para posteriormente ser sometido a la acción de dos funciones principales, una función de permutación con entrada de 8 bits y otra de sustitución con entrada de 5 bits, en un proceso que consta de 16 etapas de cifrado. En general, DES utiliza una clave simétrica de 64 bits, de los cuales 56 son usados para la encriptación, mientras que los 8 restantes son de paridad, y se usan para la detección de errores en el proceso. Como la clave efectiva es de 56 bits, son posible un total de 2 elevado a 56 = 72.057.594.037.927.936 claves posibles, es decir, unos 72.000 billones de claves, por lo que la ruptura del sistema por fuerza bruta o diccionario es sumamente improbable, aunque no imposible si se dispone de suerte y una gran potencia de cálculo. 14. CIFRADO BLOWFISH La criptografía es la técnica de construir y analizar protocolos que permiten que terceras personas no sean capaces de leer mensajes que se desea permanecer en privado. Se dividen en dos claves: Clave publica 3 x 11 = 33 Cable privada 3 x 11 = 33 BLOWFISH Blowfish fue desarrollado en 1993 por Bruce Schneiner. Es un cifrado de bloque simétrico de 64 bits por que la misma clave se usa tanto para el cifrado como descifrado de claves. Es un método de encriptación el cual es un arma muy poderosa contra piratas cibernéticos y ciberdelincuentes. Se utiliza en una amplia gama de productos, incluidas algunas herramientas de cifrado como correo electrónico, software de respaldo y herramientas de administración de contraseñas. 1. CARACTERÍSTICAS Rápido: Cifra datos en microprocesadores de 32 bits a una tasa de 18 ciclos de reloj por byte. Compacto: Puede correr en un espacio de memoria inferior a los 5 k sencillo: Estructura fácil de implementar Variables seguras: La longitud de la clave es variable y puede ser de 448 bits, lo que permite negociar entre trabajar a alta velocidad y alta seguridad Opera con bloques de 64 bits, tomando 64 bits de texto plano y entrega 64 bits de texto cifrado Utiliza claves que van desde 32 hasta 448 bits (14 bloques de 32 bits), genera 18 sub-claves de 32 bits y 4 de sustitución de 8 por 32 bits. VENTAJAS Rápido Disposición publica Se ejecuta rápido en una maquina actual Es compacto al momento de ser ejecutado Tiene una estructura fácil al momento de su implementación DESVENTAJAS Hay que hacer llegar la clave a la otra persona de forma segura Solo es adecuado para aplicaciones en las cuales la clave no cambie constantemente FUNCIÓN Utiliza claves de longitud variable entre 32 y 448 bits. A pesar de utilizar un tamaño de bloquepequeño, que podría facilitar su vulnerabilidad al procesar textos largos, se considera un algoritmo seguro y mas rápido que DES (Data Scryption Standard). 15. SEGURIDAD A TRAVÉS DE VPN 1. QUE ES UNA VPN? Una red privada virtual Virtual Private Network (VPN), es una tecnología de red de computadoras que permite una extensión segura de la red de área local (LAN) sobre una red pública o no controlada como internet. Permite que la computadora en la red envíe y reciba datos sobre redes compartidas o públicas como si fuera una red privada con toda la funcionalidad, seguridad y políticas de gestión de una red privada.[1] Esto se realiza estableciendo una conexión virtual punto a punto mediante el uso de conexiones dedicadas, cifrado o la combinación de ambos métodos. 2. TIPOS DE VPN VPN BASADAS EN EL CLIENTE: Una conexión de acceso remoto es realizada por un cliente o un usuario de una computadora que se conecta a una red privada, los paquetes enviados a través de la conexión VPN son originados al cliente de acceso remoto, y éste se autentifica al servidor de acceso remoto, y el servidor se autentifica ante el cliente. VPN BASADAS EN RED: Este esquema es el empleado para conectar oficinas remotas con una sede central. El servidor VPN está conectado permanentemente a Internet, acepta conexiones entrantes desde los sitios y establece el túnel VPN. Los servidores de las oficinas remotas se conectan a Internet y a través de ésta al túnel VPN de la oficina central. VPN INTERNA (LAN) Funciona tal cual una red VPN normal, salvo que dentro de la misma red local LAN en lugar de a través de Internet. Sirve para aislar zonas y servicios de la misma red interna. Sirve también para mejorar las características de seguridad de una red inalámbrica WiFi. 3. TIPOS DE PROTOCOLOS IPSE: - No es un protocolo • Mejora la seguridad • Asegura las comunicaciones sobre el IP. • Soporta encriptado de 56 bit y 168 bit (Triple DES) • Brinda seguridad en la capa de red(Capa 3 OSI) • Posee dos métodos de encriptado: Modo Tunel, Modo Transporte SSH • protocolo cuya principal función es el acces remoto a un servidor por medio de un canal seguro en el que toda la información está cifrada. • diferentes tecnicas de cifrado: • cifrado simétrico • cifrado asimétrico • hashing EL CIFRADO RC4 • RC4 es un esquema de cifrado de flujo (no basado en bloques) simétrico. OPERACIÓN XOR El resultado de hacer XOR de un número consigo mismo es todo ceros. El resultado de hacer XOR de un número con todo ceros es el mismo número. PPTP/MPPE Tecnología desarrollada por un consorcio formado por varias empresas. PPTP soporta varios protocolos VPN con cifrado de 40 bit y 128 bit utilizando el protocolo Microsoft Point to Point Encryption (MPPE). PPTP por sí solo no cifra la información. https://es.m.wikipedia.org/wiki/Red_de_%C3%A1rea_local https://es.m.wikipedia.org/wiki/Local_Area_Network https://es.m.wikipedia.org/wiki/Red_privada_virtual MPPE proporciona seguridad de datos para la conexión PPTP que se encuentra entre el cliente vpn y el servidor vpn. VENTAJAS DE LAS VPN ❖ Integridad, Confidencialidad y Seguridad de Datos. ❖ Las VPN reducen costos y son sencillas usar. ❖ Facilita la comunicación entre los usuarios en lugares distintos ❖ Puede conectarse de forma segura a redes wifi públicas ❖ Evita ser hackeado DESVENTAJAS DE LAS VPN ❖ Las VPN gratuitas son muy peligrosas pueden haber varios factores donde nuestra información quede expuesta en el nodo de salida, por ejemplo, donde se descifra la información ❖ Se debe establecer correctamente las políticas de seguridad y de acceso ❖ Mayor carga en el cliente VPN por que debe encapsular los paquetes de datos y encriptarlos, esto produce una cierta lentitud en las conexiones ❖ No se garantiza la disponibilidad (No internet No VPN) ❖ Una VPN se considera segura, pero no hay que olvidar que la información sigue viajando por internet (no seguro y expuesto a ataques. 16. PROTOCOLO LIGERO DE ACCESO A DIRECTORIOS 1. HISTORIA En la década de 1980 la unión internacional de telecomunicaciones produjo un conjunto de protocolos llamados X.500, los cuales se accedían tradicionalmente vía DAP y requería de protocolos de la pila OSI. El protocolo fue creado originalmente por Tim Howes (Universidad de Míchigan), Steve Kille (Isode Limited), y Wengyik Yeong (Performance Systems International) hacia 1993. Un desarrollo más completo ha sido hecho por la Internet Engineering Task Force. 2. ¿QUÉ ES LDAP? conjunto de protocolos de licencia abierta que son utilizados para acceder a la información que está almacenada de forma centralizada en una red. Este protocolo se utiliza a nivel de aplicación para acceder a los servicios de directorio remoto. 3. OBJETIVO El objetivo del protocolo LDAP, desarrollado en 1993 en la Universidad de Michigan, fue reemplazar al protocolo DAP (utilizado para acceder a los servicios de directorio X.500 por OSI) integrándolo al TCP/IP. Desde 1995, DAP se convirtió en LDAP independiente, con lo cual se dejó de utilizar sólo para acceder a los directorios tipo X500. LDAP es una versión más simple del protocolo DAP, de allí deriva su nombre Protocolo compacto de acceso a directorios. CÓMO SE ALMACENA LA INFORMACIÓN EN LDAP Entradas Atributos LDIF Árboles ESTRUCTURA DE UNA URL DE ACCESO EN LDAP Al efectuar conexiones remotas a un servidor LDAP, necesitaremos del uso de direcciones URL para obtener información de éste. La estructura básica HERRAMIENTAS MÁS IMPORTANTES QUE UTILIZAN EL PROTOCOLO LDAP OpenLDAP Active Directory Red Hat Directory Server Apache Directory Server Novell Directory Services Open DS VENTAJAS Reduce la carga de trabajo del administrador de TI Simplifica el proceso de inicio de sesión de los usuarios La mayoría de aplicaciones disponen de soporte para LDAP Maneja un estándar en los nombres globales definiéndolos únicos La información es almacenada bajo una estructura jerárquica Permite varios directorios independientes 4. DESVENTAJAS El administrador de grupos debe quitar manualmente las cuentas de Active Directory y LDAP sin uso. Si existen cambios frecuentes en la lista de cuentas de administrador, el administrador de grupos debe hacer actualizaciones frecuentes. RFC 1959 - un formato de URL LDAP: Este documento describe un formato para un LDAP localizador uniforme de recursos, lo que permitirá a los clientes de Internet tienen acceso directo al protocolo LDAP. NOTA: Ha sido remplazada por RFC 2255 RFC 1960 - una representación de cadena de los filtros de búsqueda LDAP: El protocolo ligero de acceso a directorios (LDAP) define una representación de la red de un filtro de búsqueda que se transmite a un servidor LDAP. NOTA: Ha sido remplazado por 2254 RFC 1823 - la interfaz de programa de aplicación de LDAP: Este documento define una interfaz de programa de aplicación de lenguaje C para el protocolo ligero de acceso a directorios (LDAP). 5. CARACTERÍSTICAS Dinámico: Lo ideal es que todo directorio activo mantenga actualizada su información para poder ser consultada en todo momento. Flexible: permite almacenar mucha información de forma variada y además de diferentes formas para facilitar la búsqueda. Seguro: Se controla el acceso a la información, definiendo la autorización y la accesibilidad por usuario, es decir, LDAP le permite al administrador decidir qué usuario y hasta qué punto. Personalizable: Se puede definir la información relevante y no relevante para la organización y el aspecto o diseño con el cual se desea mostrar la información. 17. PROTOCOLO DE ENCRIPTACIÓN WEP 1. DEFINICIÓN es el algoritmo opcional de seguridad para brindar protección a las redes inalámbricas, incluido en la primera versión del estándar IEEE 802.11 seimplementó como primer modelo de cifrado Wifi pero con el tiempo fue hackeado y actualmente se considera altamente vulnerable. 2. ESTANDAR El estándar que utiliza es el estándar de WIFI de la IEEE 802.11 b b = que significa que es aplicable en la segunda capa del modelo OSI (Enlace de datos) compuesta por dos subcapa: La subcapa inferior la MAC (Control de acceso al medio) y la superior la LLC (control de enlace lógico) . Velocidad máxima: hasta 11 Mbps Frecuencia: 2,4 GHz CIFRADO WEP ALGORITMO RC4 Algoritmo de generación de claves (KSA) Algoritmo de generación pseudoaleatoria (PRGA) Ejemplo AUTENTICACIÓN Sistema abierto (inseguro) WEP proporciona dos tipos de autenticación: un sistema abierto, en el que todos los usuarios tienen permiso para acceder a la WLAN Clave compartida (seguro) Autenticación mediante clave compartida, que controla el acceso a la WLAN y evita accesos no autorizados a la red. De los dos niveles, la autenticación mediante clave compartida es el modo seguro La autenticación mediante clave compartida funciona sólo si está habilitado el cifrado WEP. Si no está habilitado, el sistema revertirá de manera predeterminada al modo de sistema abierto (inseguro) 18. PROTOCOLO DE ENCRIPTACIÓN WPA 1. HISTORIA Durante el tiempo en que se estaba desarrollando el estándar de seguridad inalámbrica 802.11i, se utilizó WPA como mejora temporal de la seguridad de WEP. Un año antes de que WEP fuera oficialmente abandonada, WPA fue formalmente adoptada. El 31 de octubre de 2002, la Wi-Fi Alliance respaldó la aprobación de TKIP bajo el nombre de Acceso protegido Wi-Fi (WPA). IEEE 802.11i: Está dirigido a batir la vulnerabilidad actual en la seguridad para protocolos de autenticación y de codificación. El estándar abarca los protocolos 802.1x, TKIP y AES. Se implementa en Wi-Fi Protected Access (WPA2). La norma fue ratificada el 24 de junio de 2004. WPA, al igual que WEP, después de haber sido sometida a pruebas de concepto y a demostraciones públicas aplicadas, resultó ser bastante vulnerable a la intrusión. Sin embargo, los ataques que más amenazaban el protocolo no fueron los directos, sino los que se realizaron con el sistema WPS (Wi-Fi Protected Setup), un sistema auxiliar desarrollado para simplificar la conexión de los dispositivos a los puntos de acceso modernos. 2. ¿QUÉ ES? Es un protocolo desarrollado por Wi-Fi Alliance para proteger redes inalámbricas, WPA podría ser implementado a través de actualizaciones de firmware en las tarjetas de interfaz de red inalámbrica diseñados para WEP que se empezó ya en 1999. Sin embargo, dado que los cambios requeridos en los puntos de acceso inalámbrico (AP) fueron más extensas que las que se necesitan en las tarjetas de red, la mayoría de las AP hechas antes del 2003 no pudieron ser actualizadas para soportar WPA. Mejora de cifrado de datos a través del protocolo de integridad de clave temporal (TKIP). TKIP codifica las claves utilizando un algoritmo de Hash y, al añadir una función de comprobación de integridad, garantiza que las llaves no han sido manipuladas. El funcionamiento de WPA se basa en la implementación de un servidor de autenticación (en general un servidor RADIUS) que identifica a los usuarios en una red y establece sus privilegios de acceso. No obstante, redes pequeñas pueden usar una versión más simple de WPA, llamada WPA-PSK, al implementar la misma clave de cifrado en todos los dispositivos, con lo cual ya no se necesita el servidor RADIUS. 3. TIPOS WPA WPA-PERSONAL o WPA personal es un sistema de seguridad de red principalmente creado para el uso en redes hogareñas u oficinas pequeñas por sus bajos requerimientos de infraestructura. Wpa-personal consiste en un punto de acceso inalámbrico en el cual se conectan los host. o Su principal característica es su protocolo de autenticación de clave pre-compartida (PSK). WPA-EMPRESAS o WPA empresas es un protocolo creado principalmente para el uso en organizaciones de gran envergadura, donde necesitan tener un control individual de cada host que ingresa a la red como también un control centralizado del acceso a dicha red. La infraestructura de wpa empresas consiste en un punto de acceso, un servido y los host. o Su principal característica es su protocolo de autenticación 802.1x en el cual cada usuario debe identificarse individualmente para poder ingresar a la red CIFRADO: TKIP Wpa utiliza el protocolo de integridad de clave temporal (TKIP) para cifrar los datos enviados durante la conexión, tkip utiliza el mismo algoritmo de cifrado que el utilizado en WEP pero la generación de la clave se realiza de manera diferente. Para la integridad de los mensajes (ICV), se ha eliminado el CRC-32 que se demostró inservible en WEP y se ha incluido un nuevo código denominado MIC.. VENTAJAS • WPA, a diferencia de su predecesor, proporciona radicalmente una seguridad inalámbrica más segura. • Tiene autenticación adicional en lugar de sólo el cifrado básico proporcionado en WEP. • Incorpora los servidores RADIUS y permite la administración, registro y auditoría. • Si no puede utilizar WPA a través de un dispositivo en particular, los ordenadores WPA se comunicarán mediante el cifrado WEP. • Otra característica es la provisión de soporte compatible con versiones anteriores para dispositivos que no están actualizados. • Se ejecuta una autenticación de certificado (CA) para bloquear el acceso de posibles hackers a la red. • Parte de las configuraciones recomendadas es un servidor de autoridad de certificación. Esto es para dar seguridad a las computadoras WPA en términos de compartir claves con personas o grupos desconocidos. DESVENTAJAS • El firmware y los sistemas operativos más antiguos no pueden actualizarse para soportar WPA. • El software WPA debe estar presente en computadoras, puntos de acceso y adaptadores inalámbricos para que WPA funcione. • La WPA fue lanzada en 2003, poco después de la WEP. Los dispositivos tales como computadoras, enrutadores y otros equipos de más de 2003 no son actualizables. • En cualquier versión de WPA, para que se produzca una conexión, los puntos de acceso inalámbricos y los clientes de red deben tener la misma configuración. • Este es el mismo que el antiguo estándar de seguridad WEP. Los ataques de denegación de servicio pueden producirse incluso con WPA. • Una configuración complicada es necesaria y una molestia para los usuarios domésticos típicos. • El tiempo de transmisión es mayor debido al tamaño adicional del paquete. 19. PROTOCOLO DE ENCRIPTACIÓN WPA2 1. DEFINICIÓN Es el nuevo estándar del IEEE para proporcionar seguridad en redes WLAN, se realizó principalmente como una actualización de los protocolos de seguridad anteriores, es decir, WEP y WPA. El estándar WPA2 incluía todos los requisitos de seguridad en línea con los estándares de seguridad de IEEE 802.11i. Esta actualización ofrece un control de acceso a la red más seguro y una mayor protección de los datos. Y Existen dos versiones WPA2-PERSONAL / WPA2-ENTERPRISE 2. PROTOCOLO SEGURO (RECOMENDADO Y NO RECOMENDADO) • WPA2-PSK (TKIP): Utiliza el estándar WPA2 con cifrado TKIP. Como vimos esta opción no es segura, pero si tenemos dispositivos antiguos que no soportan una red WPA2-PSK (AES) es necesario para poder seguir utilizándolos. • WPA2-PSK (AES): La opción más segura. Utiliza WPA2, el último estándar de encriptación Wi-Fi, y el más reciente protocolo de encriptación AES. Ya lo dijimos en su momento y lo reiteramos, salvo por razones de fuerza mayor debería ser nuestra única opción. ¿QUÉ ES AES? • Es un algoritmo de cifrado simétrico. • Fue desarrollado por: Joan Daemen y Vincent Rijmen, ambos de origen belga. • Se desarrolló bajo el nombre de: Rijndael (pronunciado "Rain Doll" en inglés). • Se transformó en un estándar efectivo el 26 de mayo de 2002. • Desde 2006,el AES es uno de los algoritmos más populares usados en criptografía simétrica. ¿CÓMO CIFRA AES? • Su cifrado se basa en matriz de estado. • Tiene tamaños de: 128, 192 y256 bits de largo. • Se realiza con el operador “exclusive or” (XOR). • Su operación se conoce como: "AddRoundKey“. ¿QUÉ TAN SEGURO ES AES? • Tiene un solo ataque registrado en el 2011. exitoso • No es vulnerable al criptoanálisis diferencial y lineal. • Es necesaria una gran cantidad de textos encriptados y gran procesamiento para su análisis. QUÉ NECESITA PARA PODER ROMPER AES? Según investigadores: • Un billón de ordenadores. • Que cada uno pueda probar mil millones de claves por segundo. • Y unos 2000 millones de años para dar con un AES-128. ¿Como fue el Ataque? ¿Quién lo realizo? R/: Un grupo de investigadores de Microsoft y de la Dutch Katholieke Universiteit Leuven. ¿Qué sistemas de AES atacaron? R/: Atacaron el sistema de 128 bits (AES-128). ¿Cómo lo hicieron? R/: La información detallada del ataque no es visible. ¿Fue real? o ¿Solo un cuento? R/: Los creadores de AES, Joan Daemen y Vincent Rijmen, han reconocido la validez del ataque.
Compartir