PKI centralizada (SSL/TLS, S/MIME)

Documentos relacionados
Como crear certificados digitales con OpenSSL 1

Técnicas de cifrado. Clave pública y clave privada:

Gestión de Certificados y Mecanismos de Seguridad con OpenSSL

OpenSSL. Ing Jean Díaz

3. En caso de que no esté instalado hacemos lo siguiente

Gestión de Certificados con OpenSSL

Resumen de Requisitos Técnicos para incorporación de Organismos a la Plataforma Integrada de Servicios Electrónicos del Estado

Analiza y elabora un manual de uso con ejemplos de la herramienta OpenSSL.

SEGURIDAD EN REDES. NOMBRE: Daniel Leonardo Proaño Rosero. TEMA: SSH server

SERVICIOS DE RED E INTERNET TEMA 4: INSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS WEB

Practica 4 1. Certificados digitales

Creación y administración de certificados de seguridad mediante OpenSSL

Tema: Certificados Digitales

Seguridad en Correo Electrónico

Petición de certificados de servidor con Apache y Openssl

Qué es el protocolo SSH y cómo configurarlo para mejorar la seguridad de acceso a los servidores Linux

SOLICITUD, INSTALACIÓN y CONFIGURACIÓN DE UN CERTIFICADO DE SERVIDOR SEGURO EN APACHE MEDIANTE OPENSSL

AGESIC Área de tecnología

Redes Privadas Virtuales Virtual Private Networks

SOLICITUD E INSTALACIÓN DE UN CERTIFICADO DE SERVIDOR SEGURO EN APACHE 2.X MEDIANTE OPENSSL EX

Enlace web remoto a travez de SSh Juan Badilla Riquelme Anibal Espinoza Moraga Cesar Reyes Pino

SSL. Secure Sockets Layer

Seguridad en la transmisión de Datos

PRÁCTICA 1: OBTENCIÓN DE CERTIFICADOS DIGITALES

Seguridad y Autorización: Plataforma OpenSSL

Clase 19: 21 de Abril de Certificados Digitales (HTTPS) Eduardo Mercader Orta emercade [at] nic. cl

5. Crea un sitio Web seguro usando tu propio certificado digital (Windows y Linux).

Proteger con SSL. Seguridad en los Sistemas Informáticos. Ismael Ripoll. Universidad Politècnica de València. Abril 2011

Tutorial BMS Server Studio UDP

SSL: Secure Sockets Layer Kerberos PGP Millicent

Introducción a la Firma Electrónica en MIDAS

Factura Electrónica. Web Service - Pasos a seguir. Versión 1.0

PRACTICA 4 1-CERTIFICADO DIGITAL VERIFICADO 2-CERTIFICADO DIGITAL NO VERIFICADO 3-SERVIDOR VIRTUAL HTTPS EN LINUX 4- SERVIDOR VIRTUAL HTTPS

Seguridad en Redes Protocolos Seguros

Facultad de Ciencias del Hombre y la Naturaleza SISTEMAS OPERATIVOS DE REDES CICLO II Materia: Sistemas Operativos de Redes Tema:

LABORATORIO DE RC: PRÁCTICA 4: IMPLEMENTACIÓN DE UN CLIENTE DE CORREO

SSL Secure Socket Layer

Unidad 4 Criptografía, SSL/TLS y HTTPS. Despliegue de aplicaciones web

Administración de la Contabilidad y Control de Acceso de la Red

Infraestructura para la Criptografía de Clave Pública

Consulta a servicio OCSP. Consulta en línea de estado de Certificados

a) Instalación del servidor SSH en GNU/Linux

Ubuntu Server HOW TO : SQUID. EN ESTE SE REALIZA LO SIGUIENTE: En este how to se le va a enseñar como instalar servidor proxi Squid.

Introducción. Algoritmos

La vida en un mundo centrado en la red

PROCEDIMIENTO ESPECÍFICO. Código G Edición 0

Protocolos y técnicas alternativas al WEP. En este capítulo se presentan algunos protocolos y técnicas que ofrecen mayores

Gran número de usuarios accediendo a un único servicio y con un único protocolo. Servidores y clientes con distintos protocolos.

SYNCTHING. Herramienta de sincronización de datos vía LAN. Laboratorio de Sistemas Operativos y Redes. Caminos Diego; Zapatero R.

Introducción a la seguridad y certificación digital. certificación digital

Manual para Conexión a Servidores Virtuales. Infrastructure-as-a-Service. Triara.com SA de CV. Todos los derechos reservados

PRÁCTICA 8 Parte B Mecanismos de Seguridad, Certificados Digitales

DNA. Cliente WSAA Especificaciones Técnicas. Versión <1.4>

Mini Guía para usar las Keops en el ITAM

Seguridad en Redes de Comunicación

Seguridad del Protocolo HTTP

Como crear un túnel entre dos PC s usando el Protocolo SSH

Criptografía. Kerberos PGP TLS/SSL SSH

MANUAL DE CONFIGURACION CORREO ELECTRONICO SEGURO CON MOZILLA

Semana 11: Fir Fir w e a w lls

SOLICITUD, INSTALACIÓN y CONFIGURACIÓN DE UN CERTIFICADO DE SERVIDOR SEGURO EN APACHE MEDIANTE OPENSSL

CURSO ADMINISTRACIÓN APACHE WEB SERVER. PRÁCTICA 2: Configuración del SSL en el Apache Web Server para Win32

AGESIC Gerencia de Proyectos

PASOS A SEGUIR PARA CONFIGURAR Y OBTENER UN CORRECTO FUNCIONAMIENTO DEL SISTEMA ERASFe

Instalación y Mantenimiento de Servicios de Internet

Terminal Services Configuration - TS Manager - Remote Desktops - TS Session Broker, RDP-Tcp Propierties,

CRIPTOGRAFÍA SIMÉTRICA Y ASIMÉTRICA

GUIA DE USO - FIRMA DIGITAL DE DOCUMENTOS

PRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN

Política de confianza

MANUAL INSTALACION DE CERTIFICADO SSL APACHE OPENSSL MANUAL INSTALACIÓN CERTIFICADO SSL APACHE OPENSSL

Edición 1 ES. Nokia y Nokia Connecting People son marcas comerciales registradas de Nokia Corporation

Ing. Cynthia Zúñiga Ramos

Para comenzar a utilizarla, lo primero es descargarse la última versión gratuita de la web

Instalación, creación y configuración del servicio FTP

qué es comercio electrónico?

Herramientas Scan Station Pro 550 Administration y Scan Station Service

Actualizaciones de GateDefender Performa desde un servidor web local

Internet y su Arquitectura de Seguridad

Transport Layer Security (TLS) Acerca de TLS

TEMA 2 - parte 3.Gestión de Claves

Capítulo 8 Seguridad en Redes Conexiones TCP Seguras: SSL

MANUAL DE AYUDA TAREA PROGRAMADA COPIAS DE SEGURIDAD

INSTALACIÓN Y USO DE OCS INVENTORY

Instructivo para Solicitud de Certificado de Servidor 080-ISS-I017

MT01 MANUAL TÉCNICO CONEXIONES VPN. Fecha: 30/11/11

INTRODUCCION. Tema: Protocolo de la Capa de aplicación. FTP HTTP. Autor: Julio Cesar Morejon Rios

SIEWEB. La intranet corporativa de SIE

SISTEMA DE COMERCIO ELECTRÓNICO SEGURO

Apéndice C Secure Shell

DIPLOMADO EN SEGURIDAD INFORMATICA

CONFIGURACION DE SERVIDOR SSH EN REDHAT. Redhat para todos. Breve manual de configuración de servidor FTP en redhat

VPN RED PRIVADA VIRTUAL INTEGRANTES: ALEXANDER BERNAL RAMIREZ CARLOS TRANCA JOSUE FLORES MIGUEL ANGEL VILLANUEVA

ACCESO AL SERVIDOR EXCHANGE MEDIANTE OWA

Transcripción:

Dos modelos comunes: PKI centralizada (SSL/TLS, S/MIME) Certificados Autoridades de certificación centralizadas PKI distribuida (PGP) Firmas entre usuarios Red de confianza (Web of trust)

RFC 3280 define X.509 v3 Define una PKI para Internet Formato de los certificados Formato de las Listas de Revocación de Certificados (CRL) Forma de PKI centralizada más usada Usado para S/MIME, SSL/TLS, SSH...

Algunos campos del certificado X.509 Certificate Version Serial Number Algorithm ID Issuer Validity Subject Subject Public Key Info Public Key Algorithm Subject Public Key... Certificate Signature Algorithm Certificate Signature Versión del certificado (3) Número identificador único del cert. Algoritmos para firmar el cert. Nombre de la CA Periodo de validez del cert. Usuario (a quien pertenece la clave) Datos de la clave certificada Algoritmos usados para firmar el crt. Firma de la CA

Open SSL Herramienta que implementa SSL S/MIME Correo cifrado Cifrado de llamada a procedimiento remoto (RPC). El protocolo RPC utilizado por COM distribuido (DCOM) proporciona un nivel de autenticación (privacidad de paquete) que realiza el cifrado de todos los paquetes de datos enviados entre el cliente y el servidor. Seguridad del protocolo Internet (IPSec). IPSec ofrece una solución para la comunicación segura en el nivel de transporte y puede utilizarse para proteger los datos enviados entre dos equipos, como por ejemplo, entre un servidor de aplicaciones y un servidor de bases de datos.

Open SSL es una herramienta SSL funcional. OpenSSL es una implementación de código abierto, de los protocolos SSL y TLS. Está basado sobre el extinto proyecto SSLeay, iniciado por Eric Young y Tim Hudson. Se encuentra disponible en www.openssl.org y admite diferentes plataformas.

Pasos principales de la instalación(en sistemas UNIX): Descargar el paquete, descomprimirlo desde un usuario diferente de root. Ejecutar el archivo./configure (se puede especificar de forma explicita) Ejecutar make Entrar al sistema como root. Ejecutar make install para mover los archivos al directorio correspondiente (/usr/local/ssl) Crear referencia a las bibliotecas: ln s /usr/local/ssl/lib/libssl.a /usr/lib/ ln s /isr/local/ssl/lib/libcrypto /usr/lib

Crear la referencia a los archivos incluidos: ln s /usr/local/ssl/include/openssl/ /usr/include Incorporar el MANPATH /usr/local/ssl/man a su archivo /etc/man.config Incorporar en la ruta de acceso (PATH) /usr/local/ssl/bin OpenSSL incluye un API para programación segura en C

openssl genrsa des3 out ca.key 1024 En donde: genrsa indicará que se usarán parámetros RSA -des3 indica que se utilizará el algoritmo triple DES para realizar el cifrado. -out ca.key, indica que la llave se depositará en un archivo llamado ca.key El parámetro 1024 indica el tamaño que tendrá la clave privada. Al ejecutar el comando se pedirá el password que resguardará la llave privada y su confirmación

Una vez que se generó la llave privada, se utilizará ésta para generar un certificado, para esto, se ejecuta el siguiente comando: #openssl req new x509 days 365 key ca.key out ca.csr (o puede ser ca.crt) req indica que se trata de una solicitud -new que se trata de una nueva solicitud -x509 que la solicitud se generará en el estándar x509 Se ingresa el password y los datos que formarán el certificado.

Enviar el archivo.csr a una CA, ésta solicita el pago y valida la identidad de la organización y proporciona el certificado por un tiempo limitado. Aunque también se pueden generar certificados firmados por uno mismo #openssl req new x509 days 30 in ca.csr key ca.key out ca.ctr csr.- Solicitud de firma del certificado crt.- Certificado temporal firmado por el propio servidor.

Al instalar Apache: Después de desempaquetar el archivo de instalación (tgz) #./configure -enable-ssl # make # make install Generar una llave privada y un certificado (diapositivas anteriores) Mover el.key y.crt al directorio: /dir_apache/conf/ssl (crearlo, ya que no existe por default) Y modificar el archivo ssl.conf indicando donde se encuentran los archivos: SSLCertificateFile SSLCertificateKeyFile Finalmente iniciar apache: #/dir_apache/bin/apachectl start

Los servidores como el IIS tienen opciones para habilitar conexiones seguras por medio de la configuración. Apache + SSL sobre Windows Servidores de base de datos como DB2 u Oracle también traen opción de conexiones seguras.

http://httpd.apache.org/download.cgi Unix Source: httpd-2.2.14.tar.gz Win32 Source: httpd-2.2.14-win32-src.zip Win32 Binary without crypto (no mod_ssl) (MSI Installer): apache_2.2.14-win32-x86-no_ssl.msi Win32 Binary including OpenSSL 0.9.8k (MSI Installer): apache_2.2.14-win32-x86-openssl-0.9.8k.msi

C:\OpenSSL>openssl req -config openssl.cnf -new -out my-server.csr C:\OpenSSL>openssl rsa -in privkey.pem -out myserver.key C:\OpenSSL>openssl x509 -in my-server.csr -out my-server.cert -req -signkey my-server.key - days 365 C:\OpenSSL>openssl x509 -in my-server.cert -out my-server.der.crt -outform DER

#Listen 80 Listen 443.. Probar http://localhost:443.. LoadModule ssl_module modules/mod_ssl.so.. <VirtualHost localhost:443> SSLEngine On SSLCertificateFile conf/ssl/my-server.cert SSLCertificateKeyFile conf/ssl/my-server.key </VirtualHost>. Probar: https://localhost

Iniciar el estado del cliente: SSL_METHOD * method; SSL_CTX *ctx; OpenSSL_add_all_algorithms(); Cargar el cifrado SSL_load_error_strings(); Cargar/registrar mansajes de error method = SSLv2_client_method(); Crear el nuevo cliente ccx = SSL_CTX_new(method); Crear el nuevo contexto

El siguiente paso es crear un socket normal. Después de la conexión de los sockets entre cliente y servidor,se necesita crear una instancia SSL y asociarla a la conexión. SSL *ssl = SSL_new(ctx); Crear nuevo estado de la conexión SSL_set_fd (ssl, sd); Adjuntar el descriptor del socket int sd = socket(pf_inet, SOCK_STREAM,0); If (SSL_connect(ssl) == -1) //Realiza conexión ERR_print_errors_fp(stderr);

Multipurpose Internet Mail Extensions RFC 2045-2049 MIME Define la estructura del cuerpo de los correos electrónicos. Permite dividir los correos en bloques múltiples. Permite incluir imágenes, audio, video... en un correo. No contempla seguridad/criptografía

Secure/MIME, desarrollado por RSA Security Extiende MIME con encripción y firmas Basado en PKI centralizada Usa CAs y certificados X.509 RFC 3851 S/MIME v3.1 Tipos MIME Application/pkcs7-mime, multipart/signed...

Estándar para uso de PGP Basado en PKI distribuida Usa red de confianza RFC 3156 MIME con OpenPGP ( PGP/MIME ) Tipos MIME Application/pgp-encrypted, application/pgpsignature Estructura MIME de un correo cifrado/firmado RFC 2440 OpenPGP Message Format Campos binarios que componen un bloque cifrado/firmado (datos encriptados, algoritmo, hash...) Comando pgp linux

IPSec puede utilizarse para proteger los datos enviados entre dos equipos, como por ejemplo, un servidor de aplicaciones y un servidor de bases de datos. IPSec es totalmente transparente para las aplicaciones al implementarse los servicios de cifrado, integridad y autenticación en el nivel de transporte. Las aplicaciones siguen comunicándose entre sí de la forma habitual mediante puertos TCP y UDP.

Proporcionar confidencialidad de mensajes al cifrar todos los datos enviados entre dos equipos. Proporcionar integridad de mensajes entre dos equipos (sin cifrado de datos). Proporcionar autenticación mutua entre dos equipos (no usuarios). Por ejemplo, puede ayudar a proteger un servidor de bases de datos si establece una directiva que admite peticiones solamente de un equipo cliente específico (por ejemplo, un servidor Web o de aplicaciones). Restringir los equipos que pueden comunicarse entre sí. También puede limitar la comunicación a protocolos IP y puertos TCP/UDP específicos. IPSec puede utilizar kerberos para autenticación de los usuarios

RPC es el mecanismo de transporte subyacente utilizado por DCOM. RPC ofrece un conjunto de niveles de autenticación configurables, desde ninguna autenticación (y ninguna protección de los datos) al cifrado total del estado de los parámetros. El nivel más seguro (Privacidad de paquete RPC) cifra el estado de los parámetros para cada llamada a procedimiento remoto (y, por lo tanto, todas las invocaciones de métodos DCOM). El nivel de cifrado RPC (40 bits o 128 bits) depende de la versión del sistema operativo Windows que se ejecuta en los equipos cliente y servidor.

SSH es un protocolo que permite establecer una conexión segura entre un cliente y servidor a través de una red insegura como es la red IP. El protocolo SSH (Secure Shell) se desarrolló en 1995 por el finlandés Tatu Ylönen. Inicialmente se creo para sustituir a telnet, pero actualmente se le han agregado más funcionalidades. El protocolo SSH consta de dos componentes: Cliente SSH, permite conectarse al servidor de manera segura. Servidor SSH, actúa como supervisor, crea una conexión segura y un proceso por cada cliente que atiende.

El objetivo de la versión 1 del protocolo (SSH1), propuesta en 1995, ofrecía una alternativa a las sesiones interactivas (shells) tales como Telnet, rsh, rlogin y rexec. Sin embargo, este protocolo tenía un punto débil que permitía a los hackers introducir datos en los flujos cifrados. Por este motivo, en 1997 se propuso la versión 2 del protocolo (SSH2) como un anteproyecto del IETF. http://www.ietf.org/html.charters/secshcharter.html. Secure Shell Versión 2 también incluye un protocolo SFTP (Secure File Transfer Protocol).

Una conexión SSH se establece en varias fases: En primera instancia, se determina la identidad entre el servidor y el cliente para establecer un canal seguro (capa segura de transporte). En segunda instancia, el cliente inicia sesión en el servidor.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback