Seguridad en comunicaciones TCP/ José M. Sempere Departamento de Sistemas Informáticos y Computación Universidad Politécnica de Valencia Seguridad en TCP/ (I) Capa de seguridad separada FTP HTTP NNTP Aplicaciones SSL Capa de seguridad TCP Servicios de red Red Encaminamiento nivel físico/enlace
Seguridad en TCP/ (II) Protocolo específico de aplicación S-HTTP Aplicaciones + Seguridad TCP Servicios de red Red Encaminamiento nivel físico/enlace Seguridad en TCP/ (III) Protocolo de seguridad a nivel de red HTTP Aplicaciones TCP + sec Red Servicios de red Encaminamiento ( + seguridad) nivel físico/enlace
Seguridad en TCP/ (IV) Protocolo de seguridad simultáneo HTTP Kerberos Aplicaciones TCP + UDP Red Servicios de red Encaminamiento nivel físico/enlace Comparación de los distintos protocolos Protocolo Capa separada A nivel de aplicación A nivel de red Simultáneo A B C D E A = Seguridad completa B = Multiaplicación C = Adaptable a los servicios D = Transparente a las aplicaciones E = Fácil de desarrollar mejoras
Cifrado a nivel físico y de enlace Cifrado hardware en línea puerto para cifrado puerto para descifrado router enlace Internet Transporte Aplicación datos enviados datos no cifrados datos cifrados Cifrado a nivel : SEC SEC está pensado para proporcionar privacidad y autentificación Se incorpora en el protocolo v6.0 aunque puede trabajar con versiones anteriores El proceso básico consiste en calcular criptographic checksums mediante algoritmos de resumen (MD5, SHA, DES CBC, etc) enlace Internet Transporte Aplicación datos enviados datos no cifrados datos cifrados (opcionalmente) Estructura básica de los paquetes SEC
Fundamentos básicos de SEC (I) asociación de seguridad 1-2 host #2 host #1 asociación de seguridad 2-3 host #3 Una asociación de seguridad i-j establece todos los parámetros necesarios para que se establezca una comunicación segura entre los host i j mediante Depende de los hosts involucrados y de los parámetros incorporados en cada paquete Fundamentos básicos de SEC (II) Cada paquete en SEC puede contener alguna de las dos siguientes s: (a) Cabecera de autentificación (Authentication Header AH) Proporciona autentificación e integridad. (b) Cabecera de cifrado (Encapsulating Security Payload ESP) Proporciona privacidad Las s contienen un código (Security Parameter Index SPI) que define su operativa: Especificación de métodos de cifrado Claves Entidades asociadas con el tráfico de paquetes
Autentificación en SEC (AH) siguiente longitud AH reservado SPI datos de autentificación enlace 8 8 16 32 datos y s restantes MD5 clave clave datos y s Encriptación en SEC (AH) enlace SPI VI datos y s cifrados Gestión de claves y asociaciones de seguridad Manual keying SK (Simple Key Interchange Protocol) (Sun Microsystems) ISAKMP (Internet Security Association and Key Management Protocol) (IETF) Photuris S/WAN (RSA)
Otros protocolos alternativos SO ( Security Option) SDNS (Secure Data Network System) NLPS (Network Layer Security Protocol) PPTP (Point-To-Point Tunneling Protocol) Negociación de una sesión SSL Cliente Servidor 1 ClientHello Version RandomNumber SessionID CipherSuites CompressionMethods
Negociación de una sesión SSL Cliente Servidor 1 ClientHello Version RandomNumber SessionID CipherSuites CompressionMethods ServerHello 2 Negociación de una sesión SSL Cliente Servidor 1 ClientHello ServerHello 2 5 6 7 ClientKeyExchange ChangeCipherSpec Finished ServerKeyExchange 3 ServerHelloDone 4 ChangeCipherSpec 8 Finished 9