34
los datagramas IP los que se pueden encontrar en cada paquete que circula por la red, mediante Softwares espías. Estos Softwares permiten recolectar información mediante un proceso que se conoce como Sniffing, el cual es un término asociado a la captura de información que circula por la red, en donde se puede hacer una separación de la información, para discriminar si es relevante. Un factor que juega a favor de la persona que desee atacar a un usuario o máquina determinada, está dado por el nivel de autenticación que presenta la capa de Internet, la cual es a nivel de máquina, es decir la IP es asignada por ésta. De ésta forma, si un sistema llegara a presentar una falla, como una dirección incorrecta, el receptor no identificará si esa es realmente la dirección o si es una dirección adulterada por un atacante. Es ése el punto que permite a un atacante tener acceso a esa máquina en particular, pudiendo adulterar su funcionamiento o extraer información. El método más común para acceder a ello, es la predicción de secuencia TCP. Este método hace una simulación de participación en una red, permitiendo tener acceso a una red en particular y lograr robar una sesión TCP. Existen Softwares especializados que se encargan de hacer éstas simulaciones. Otro método es el envenenamiento de tablas caché, que permite suplantar la MAC (Control de Acceso al Medio) y de ésta forma tener acceso a la información que recibe una máquina en particular
[14].
Todos éstos ataques son
realizados mediante Softwares espías de tráfico de paquetes de datos, los cuales son de fácil acceso y se encuentran en la red, tales como Caín & Abel, XArp 2, CaptureNet, PeepNet y de los cuales en los siguientes apartados se analizaran los principales Softwares. 1.1.3
Capa de Transporte
Las principales vulnerabilidades están asociadas a la autenticación de integración y autenticación de confidencialidad
[1].
Estos términos se
8
1.1.1.1 Cifrado en Bloques.............................................................. 119 1.1.1.1.1 DES ....................................................................... 119 1.1.1.1.2 IDEA ...................................................................... 121 1.1.1.1.3 RSA ....................................................................... 125 1.1.1.2 Cifrado en Flujos ................................................................. 125 1.1.1.3 Cifrado síncrono y asíncrono .............................................. 126 1.1.1.4 Cifrados de funciones de dispersión unidireccional ............ 127 1.1.2 Sistemas de Cifrado Asimétrico.................................................. 129 1.1.2.1 Uso de la criptografía de clave pública ............................... 130 1.1.2.2 Cadenas de certificación y jerarquías de certificación ........ 131 1.1.3 Sistemas de Cifrado Híbridos ..................................................... 132 2.0 Sistemas de Autenticación ........................................................................ 132 2.1 Autenticación de Mensaje .................................................................. 133 2.1.1 Códigos de autenticación de mensaje (MAC)............................. 133 2.1.2 Firmas Digitales.......................................................................... 134 2.2 Autenticación de Entidad..................................................................... 134 2.2.1 Contraseñas ............................................................................... 135 2.2.1.1 Protección de tarjetas usando PIN...................................... 136 2.2.2 Protocolos de Reto-Respuesta ................................................... 136 2.2.2.1 Dispositivos para el cálculo de las Respuestas................... 138 2.2.2.2 Protocolos de Reto-Respuesta con Clave Simétrica........... 138 2.2.2.3 Autenticación con función Unidireccional ............................ 139 3.0 Protección a nivel de Red.......................................................................... 139 3.1 Arquitectura de protocolo de seguridad de Internet (IPsec) ............... 139 3.1.1 Protocolo AH .............................................................................. 142 3.1.2 Protocolo ESP ............................................................................ 144 3.2 Modos de uso de protocolo de seguridad de Internet (IPsec) ............ 145 4.0 Como Proteger la Criptografía asociada a la Red ..................................... 148 4.1.1 Reglas para evitar Contraseñas fáciles ........................................... 148 4.1.2 Añadir Complejidad a la codificación de contraseñas ...................... 149 4.1.3 Uso de Frases de una mayor longitud ............................................. 149
35
relacionan con el acceso a los protocolos de comunicación entre capas, permitiendo la denegación o manipulación de ellos, los que serán detallados a lo largo del ítems 2.1.3. 1.1.4
Capa de Aplicación
Los posibles inconvenientes a presentarse pueden ser ocasionados por cuatro puntos, principalmente los que están asociados a la autenticación de datos y los protocolos presentes en ésta capa. Punto 1 : Se establecen las deficiencias del servicio de nombres de dominio. Lo que ocurre con éste servicio, es que se encarga de generar las solicitudes de cada usuario que circulan por la red, es decir, en el momento que una persona solicita una conexión a un servicio determinado, se solicita una dirección IP y un nombre de dominio, se envía un paquete UDP (Protocolo de Comunicación el cual envía los datos del usuario) a un servidor DNS (Dominio de Nombre de Servicio). Lo que hace el servidor DNS es responder a ésta solicitud y entregar los datos que fueron pedidos, donde éste servidor DNS funciona como una base de datos en donde se encuentran las direcciones que solicitan los usuarios, por lo tanto, cuando se tiene acceso a esta especie de base de datos se presenta un inconveniente, el cual hace vulnerable al sistema, ya que puede ser modificada a gusto de la persona que le quiere sacar provecho a esa información, pudiendo entregar direcciones incorrectas o recepcionar las peticiones de los usuarios para obtener información acerca de sus cuentas [4]. Punto 2 : Está dado por el servicio Telnet, el cual se encarga de autentificar la solicitud de usuario, de nombre y contraseña que se trasmiten por la red, tanto por el canal de datos como por el canal de comandos.
9
5.0 Protección a Nivel de Transporte SSL/TLS/WTLS .................................... 150 5.1 Características del Protocolo SSL/TLS .............................................. 150 5.2 Transporte seguro SSL/TLS............................................................... 153 5.2.1 Protocolo de Registros SSL/TLS ................................................ 155 5.2.2 Protocolo de Negociación SSL/TLS........................................... 156 5.3 Ataques contra el Protocolo SSL/TLS ................................................ 163 5.3.1 Lectura de los paquetes enviados por el Cliente y Servidor ....... 163 5.3.2 Suplantación de Servidor o Cliente............................................. 164 5.3.3 Alteración de los paquetes ......................................................... 164 5.4 Aplicaciones que usan SSL/TLS ........................................................ 165 6.0 Protecciones a nivel de Aplicación ............................................................ 165 6.1 Sistema Cortafuegos incorporado en Sistemas Operativos ............... 165 6.2 Softwares Antivirus............................................................................. 168 7.0 Redes Privadas Virtuales (VPN)................................................................ 169 7.1 Definición y tipos de VPN ................................................................... 169 7.2 Configuración y Protocolos usados en VPN....................................... 170
Capitulo V – Implementación de Protocolos y Aplicaciones con un mayor nivel de Seguridad ..................................................... 174 1.0 Implementación de Protocolo de Seguridad SSH ..................................... 175 1.1 Principales Características del Protocolo SSH................................... 177 1.2 Capa de Transporte SSH ................................................................... 178 1.2.1 Protocolo de Paquetes SSH....................................................... 179 1.2.2 Protocolo Capa de Transporte Protocolo SSH ........................... 181 1.2.3 Protocolo de Autenticación de Usuario....................................... 182 1.2.4 Protocolo de Conexión ............................................................... 183 2.0 Implementación de Infraestructura de Clave Publica (PKI) ....................... 185 2.1 Características de la PKI .................................................................... 187 2.1.2 Características de los Certificados emitidos ............................... 187 2.2 Modelo de Firma y Navegación .......................................................... 188 3.0 Seguridad de Transacciones Electrónicas (SET) ...................................... 189 3.1 Arquitectura SET ................................................................................ 189
33
asociados al grado de confidencialidad y control de acceso que pueda tener o manejar una persona. A continuación se mencionarán las tres condiciones esenciales que tiene esta capa que deben ser resguardadas, ya que con una mala manipulación puede perjudicar a una Red o a un usuario particular: La Confidencialidad : Es la privacidad que posee cualquier documento enviado por la red o mecanismos que necesiten un control de acceso, es así que se debe garantizar que éstos estarán disponibles únicamente para la persona autorizada a acceder a dicha información. Autenticidad : La autenticación es el proceso de verificación de identidad digital en una comunicación que permitirá conocer la validez de los usuarios y datos que se manipulan. Integridad : Es la garantía de la exactitud de la información frente a la alteración, pérdida o destrucción, ya sea de forma accidental o fraudulenta, refiriéndose principalmente a la fidelidad de la información que debe mantenerse entre el emisor y el receptor. En los siguiente ítemes y a un nivel más específico, los problemas se asocian a la interceptación de información (ítem 2.2), la suplantación de mensajes y direcciones IP, los que se generan tras alterar el funcionamiento del Control de Acceso al Medio (ítem 2.2.1) y aprovechar las falencias físicas que presentan en la Tarjeta de Interfaz de Red, burlando éstas tres condiciones esenciales que debe brindar toda red de forma óptima. 1.1.2
Capa de Internet
Es la capa de donde mayor información se puede obtener para vulnerar un sistema. Lo fundamental para acceder a ésta es tener acceso a
4
Agradecimientos La finalización del trabajo de tesis, es sólo la mínima mínima parte de todo el esfuerzo realizado en los 5 años de estudio y el previo proceso formativo. El esfuerzo real viene de la dedicación, constancia y el cuidado de nuestros cercanos por esmerarse en que seamos personas de bien, recordando siempre dónde crecimos y qué es lo que queremos en la vida en base a los valores adquiridos, que es finalmente lo que permitirá establecer buenas relaciones a lo largo de nuestras vidas. Es por ello que mis saludos y agradecimientos son especialmente para mi madre María Inés, abuelita Aída, prima Angélica, tío Francisco y mi familia en general, tíos, tías y también para mis amigos que sin considerarse como familia, dentro de la universidad muchas veces pasan a serlo. Un saludo también para mi novia Claudia que es una persona per sona muy importante. Mi deber sólo fue tener las ganas para lograr mis objetivos, pero sin la ayuda de mis cercanos esto no hubiese hubie se sido posible. Muchas gracias a todos.
5
Índice Página
I. Resumen ..................................................... ................................................................................. ................................................ .................... 11 II. Abstract ....................................................... ................................................................................... ................................................ .................... 14 III. Introducción............................................................................. Introducción................................................................................................. .................... 17 IV. Objetivos.......................... Objetivos ...................................................... ........................................................ ................................................ .................... 19 V. Marco Teórico Capitulo I – Estructura de Funcionamiento Red TCP/IP ............................... ............................... 21 ...................................................................................... ................................. ..... 22 1.0 Modelo TCP/IP .......................................................... (IP)...................................................................... ................ 22 1.1 Protocolo de Internet (IP)...................................................... Transmisión .................................................. .................................................... 23 1.2 Protocolo de Control de Transmisión ................................................................... ................ 25 1.3 Etapas del Modelo TCP/IP ................................................... Modelo TCP/IP.................................................. TCP/IP.................................................. 28 1.4 Familia de Protocolos Modelo Capitulo II – Deficiencias de la Red TCP/IP............................ TCP/IP .................................................... ........................ 31 1.0 Aspectos generales de vulnerabilidad en Modelo TCP/IP.......................... 32 TCP/IP .................................... .................................... 32 1.1 Vulnerabilidades en Capas de Modelo TCP/IP ................................................................................ ........................ 32 1.1.1 Capa de Red ........................................................ Internet........................................................................... .................... 33 1.1.2 Capa de Internet....................................................... Transporte...................................................................... .................... 34 1.1.3 Capa de Transporte.................................................. Aplicación....................................................................... .................... 35 1.1.4 Capa de Aplicación................................................... 2.0 Vulnerabilidades específicas en el proceso de comunicación en modelo TCP/IP ........................................................ .................................................................................... ................................................ .................... 36 2.1 Identificación de puntos vulnerables en base a la búsqueda de información.............................. información .......................................................... ........................................................ ................................. ..... 36 2.1.1 Utilización de
