Proteger con SSL. Seguridad en los Sistemas Informáticos. Ismael Ripoll. Universidad Politècnica de València. Abril 2011

Transcripción

1 Proteger con SSL Seguridad en los Sistemas Informáticos Ismael Ripoll Universidad Politècnica de València Abril 2011 Ismael Ripoll (Universidad Politècnica de València) Proteger con SSL Abril

2 Introducción (I) A Netscape desarrolló la biblioteca SSL (Secure Socket Layer) para comunicar de forma segura clientes y servidores sobre TCP/IP La nueva versión de SSL se llama TLS (Transport Layer Security) A SSL permite: Autenticación mutua (cliente y servidor) Encriptación de los datos Integridad de los datos A Antes de iniciar la transferencia de datos entre cliente y servidor, se realiza una negociación de protocolos, claves e identificaciones A Una vez establecida la conexión segura, todos los datos transmitidos se cifran Ismael Ripoll (Universidad Politècnica de València) Proteger con SSL Abril

3 Introducción (II) A Inicialmente, los programas que querían utilizar SSL tenían que modificar el código para utilizar las funciones de la biblioteca SSL A La fase de negociación de sesión está claramente separada de la fase de transferencia de datos Es posible añadir la capa SSL utilizando un proceso externo que haga de proxy (wrapper) entre la red y un servidor no seguro Ismael Ripoll (Universidad Politècnica de València) Proteger con SSL Abril

4 Introducción (III) Ismael Ripoll (Universidad Politècnica de València) Proteger con SSL Abril

5 stunnel A Diseñado para ofrecer la seguridad SSL a servicores (demonios) o clientes que no han sido programados con soporte SSL A Se puede utilizar desde inetd o xinetd A El uso más frecuente es para cifrar servicios como POP, IMAP, SMTP, LDAP, etc A Junto con PPP se puede crear fácilmente una Red Privada Virtual RPV (VPN) A Su forma de operar es similar al port-forwarding de SSH A Se puede configurar para validar a los clientes mediante certificados de clientes Ismael Ripoll (Universidad Politècnica de València) Proteger con SSL Abril

6 stunnel como cliente Al igual que con socket podemos conectarnos a cualquier puerto de cualquier ordenador conectado a internet La siguiente orde nos retorna la página principal de la UPV: $ socket wwwupves 80 GET / HTTP/10 Con la siguiente orden conseguimos el mismo resultado, pero utilizando una conexión segura Observa que el puerto estándar de http seguro es el 443 (ver /etc/services) $ /usr/sbin/stunnel -c -r wwwupves:443 GET / HTTP/10 Ismael Ripoll (Universidad Politècnica de València) Proteger con SSL Abril

7 Certificados y openssl (I) A openssl es un programa que integra una gran cantidad de utilidades para la gestión de todo lo relacionado con SSL: Creación de claves RSA, DH y DSA Creación de certificados X509 Cálculo de resumenes de mensajes (funciones hash) Cifrado y descifrado de mensajes Ejemplos de cliente y servidor SSL/TLS A El primer parámetro que se pasa a openssl indica la operación que se quiere realizar Por ejemplo: equivale a: $ openssl md5 < fichero $ md5sum fichero Ismael Ripoll (Universidad Politècnica de València) Proteger con SSL Abril

8 Certificados y openssl (II) Crear un certificado auto-firmado sin passfrase: $ openssl req -new -x509 -nodes -keyout serverpem -out serverpem Crear un certificado auto-firmado con passfrase: $ openssl req -new -x509 -keyout userpem -out userpem Crear una petición de certificado : $ openssl req -new -newkey -nodes -keyout clavepem -out reqpem Comprobar los ficheros creados: $ openssl x509 -text -in serverpem > salida $ openssl req -text -in reqpem $ openssl rsa -text -in clavepem Ismael Ripoll (Universidad Politècnica de València) Proteger con SSL Abril

9 stunnel (v4) como servidor La configuración se pasa mediante un fichero Por ejemplo: $ cat mi_servercfg cert = serverpem pid = [Listar] accept = 9000 exec = /bin/ls execargs = ls / La llamada se realiza: $ stunnel4 mi_servercfg Ismael Ripoll (Universidad Politècnica de València) Proteger con SSL Abril

10 Comprobar el servidor $ cat mi_clientecfg client = yes connect = localhost:9000 $ stunnel -f mi_clientecfg bin home opt tmp boot lib proc usr dev lost+fount root var etc mnt sbin vmlinuz Ismael Ripoll (Universidad Politècnica de València) Proteger con SSL Abril

11 stunnel + xinetd Con esta configuración de xinetd sólo se aceptan conexiones al puerto 110 desde la propia máquina pero se aceptan conexiones seguras desde cualquier máquina $ cat /etc/xinetdconf service pop3 { socket_type= stream protocol = tcp wait = no user = cyrus server = /usr/cyrus/bin/pop3d only_from = {\it [Local-IP]} } service pop3s { socket_type= stream protocol = tcp wait = no user = cyrus server = /usr/sbin/stunnel server_args= -p /etc/serverpem -r 110 -P none } Ismael Ripoll (Universidad Politècnica de València) Proteger con SSL Abril