Universidad Interamericana de Puerto Rico Recinto de Bayamón Departamento de Informática SSL Secure Socket Layer Profesor: Luis M. Cardona Hernández Seguridad en las Redes
Definición SSL (Secure Sockets Layer) es un protocolo de seguridad que protege las mas importantes transacciones de Internet. Provee: Encriptación Autenticación Integridad de la Data Se lleva a Cabo usando certificados de llave pública
Historia del SSL El SSL fue desarrollado por Netscape Communication Co. En 1994 para asegurar las transacciones sobre el WWW (Word Wide Web). Luego la IETF (Internet Egineering Task Force) comenzó su desarrollo como protocolo estándar para el mismo fin. Este es el protocolo estándar y maduro compatible con muchos la mayoría de los servidores y clientes para las transacciones por Internet.
SSL y Windows El SSL también proteger a nivel local (Intranet) implementado con el Servicio de Certificados del Servidor local. El SSL puede protege: El Active Directory local (LDAP port 636) Bases de Datos Mensajes Email (Web Mail POP3 port 995, Local SMTP Port 465) Páginas de Web corporativas internas (HTTPS Port 443)
Forma o proceso del SSL 1. El Cliente pide llave pública al Server (Request) 2. El Server envía su llave pública al Cliente (Send Key) 3. El Cliente envía al Server una Session Key encriptada con la llave pública 4. El Server descripta la Session Key recibida del cliente usando su llave privada Ahora el Cliente y es Servidor pueden usar la Session Key para compartir la Data encriptada y descriptada entre ellos.
Forma o proceso del SSL Cont El SSL usa dos llaves para la encripción: Llave Pública Usada para la autenticación Shared Key - para la protección de la Data Esta forma de uso permite realizar el proceso en forma mas corta con solamente una llave pública
IPSEC IPSEC Vs SSL El IPSEC provee los mismos servicios del SSL, pero su aplicación es diferente 1. Requiere autenticación de ambos, clientes y servidores 2. Autenticación usando su propio certificado de llave pública o el Shared Secret 3. Capacidad Tunneling communication entre redes SSL 1. Requiere que el clientes o el servidor o ambos lleven a cabo autenticación 2. Requiere certificado de llave pública basada en autenticación 3. Puede encriptar el tráfico sólo entre dos (2) Host 4. Tecnología nueva 4. Tecnología madura 5. Usado para comunicación de Intranet 6. Transparente para las aplicaciones 5. Usado en Transacciones de Internet 6. Aplicado directamente en la aplicación
Windows 2003 y SSL Certificated El servicio de Certificados de Windows 2003 puede emitir SSL Certificates sin ningún costos adicional para la empresa. Se utiliza para control y seguridad del Intranet. (Solamente Internamente) Con PKI (Public Key Infraestructure) los SSL Certificates solo pueden ser emitidos por el root certificate authority (root CA) y con GPO se le envían a los Clients del Intranet.
Windows 2003 y SSL Certificated Es Importante que el Cliente acepte el Certificado emitido (Warning Windows) sino se desconectará la sesión al igual que los certificados privados del Internet Los SSL Certificate tienen un límite de tiempo (El tiempo esta entre 1 a 5 años) Para las transacciones realizadas por Internet tiene que ser un CA privado tales como: GeoTrust, VeriSign, GoDaddy otros.
SSL y Firewall Cuando se utiliza SSL para proteger la comunicación hay que configurar el Firewall para que pueda pasar la comunicación encriptada por el mismo (para que no analice la Data). Dos formas de lograr dicho propósito: Configuración del Firewall como Proxi Server con esta configuración el cliente establece SSL Session con el Firewall (Proxi) no con el server de destino, entonces es el proxi quien lo redirige al Server. Cofiguración Firewall permita el tráfico usando los puertos designados (Tabla puertos)
Tabla de puertos Firewall Protocolo Siglas Puerto Std. Puerto SSL Hypertext Transfer Protocol Simple Mail Transfer Protocol Post Office Protocol v3 Internet Message Access Protocol Network News Transfer Protocol Light Weight Directory Access Protocol Global Catalog Queries HTTP 80 443 SMTP 25 465 POP3 110 995 IMAP 143 993 NNTP 119 563 LDAP 389 636-3268 3269
Configuración del SSL para IIS El uso mas común del SSL es: La autenticación a Web Servers La encripción de la comunicación etre el Web Browser y el Web Server. Cuando se usa para proteger una comunicación HTTP entre el Browser y el Server se refiere entonces a HTTPS (Hypertext Transfer Protocol Secure) El IIS v6.0 de Windows 2003 y el IIS 7.0 Windows 2008 son compatibles con ambos (Server & Clientes) SSL Certificates
Uso de SSL en las páginas Web El SSL permite al usuario verificar la indentidad del Web Site y encriptar el tráfico entre el cliente y el Web Site. Ej. Cuando nos suscribimos a alguna página Web. El Certificado SSL identifica el Web Site no el Web Server Un Web Server puede guardar (host) multiples Web Sites. Un Web Site puede estar en multiples Web Server (host) (Redundancia) Web Server con 20 Web Sites = 20 certificados SSL Un Web Site en 10 Web Server = 1 certificado SSL
Certificado de SSL El Certificado de SSL usa el FQDN (Fully Qualified Domain Name) para identificar el Web Site. Ej. www.microsoft.com Cuando un cliente accede un certificado SSL del Web Site el cliente verifica que el FQDN del Web Site está en el Subject Name sea o esté también listado en el Certificado SSL.
Asignar Certificado SSL A través del CA se puede asignar el Certificado SSL a un solo Web Site. Se puede para proteger la confidencialidad del los datos URL by URL (Uniform Resource Locator) pero requiere que parte del Web Site contenga la encripción del SSL para la transmisión de dicha parte pudiendo tener partes no seguras con SSL.
Forma añadir Web Site IIS
Pasos para aplicar SSL a un Web Site local con Servicio de Certificados de Windows Crear el Web Site (página Web). Debe estar contenido en un Folder y su página principal como Index.html Publicarla con el IIS del Servidor de la Red Aplicarle el Certificado SSL al Web Site en el IIS (Debe estar seguro que el Servicio de certificados esta Instalado) Deber añadir el Record (cname) al DNS Manager para su entrada y borrar cache del DNS Abrir la página el en Browser y aceptar Certificado en en Warning de Windows
Configuración DNS Web Site Local DNS Manager Foward Lookup Zones DOMAIN New Alias (CNAME) Luego hay que limpiar el Cache del DNS C:\>ipconfig /flushdns
F I N (D) Derechos Reservados por el Autor