ESPECIALIZACION EN SEGURIDAD EN REDES Y SERVICIOS

TELEMATICOS
FUNDAMENTOS DE SEGURIDAD EN REDES
PRUEBA DE EVALUACION CONTINUA 1

CESAR NILSON ORDOEZ

PRESENTADO AL PROFESOR:
FERNANDO AYORA DIAZ

INSTITUCION UNIVERSITARIA ANTONIO JOSE CAMACHO

FACULTAD DE INGENIERIAS
SANTIAGO DE CALI 26 DE 2014

En relacin a lo que encontrars en las lecturas, justifica a qu generacin

de ataque se hace referencia.
Es conocido como un tipo de ataque iframe ya que este los hackers en su ataque
insertaron cdigo html en funcin a otras fuentes html principales, permitiendo el
reenvi de informacin de los visitantes asa otra pgina contenedora de
herramientas de extraccin de informacin, e igualmente a su vez produciendo
ataques DOS. Ejemplo de cdigo fuente Iframe:

De la familia de protocolos TCP/IP, en qu capa se focaliza el ataque?

El tipo de ataque se localiza en la capa de aplicacin.
Cmo clasificaras este ataque desde el punto de vista de seguridad?
Invasivo debido a la extraccin de informacin obtenida a travs de cdigos
maliciosos (troyanos) que se encargaban de descargar informacin personal.

Ejercicio 2
Explica con tus palabras qu es una arquitectura dual-homed.
Es una arquitectura que puede ser creada a travs de uno o varios equipos, los
cuales a su vez poseen diferentes interfaces de red, funcionando estos como un
emcaminador de informacin separando las redes externas e internas.

Describe cules son las principales caractersticas que hace que un equipo
con un cortafuegos justo a la entrada de Internet sea dual-homed o no.
Que se un servidor o sistema distribuido con ms de una interfaz de red.

Cul es la principal debilidad de una arquitectura dual-homed?

que no tiene procedimiento de reenvi de direccionamiento ip.

Si slo se dispone de un equipo de cortafuegos, se podra disponer de una

arquitectura con DMZ? Si es que s, descrbela.
Considerara que s, ya que la arquitectura DMZ es considerada para la
comunicacin e interaccin de personal externo para acceso a servidores web
correo entre otros, siendo a su vez aislado por un firewall perimetral hacia la red
local interna.

Supn que tienes que desplegar una aplicacin web que se conecta a una
base de datos corporativa, con autenticacin de usuario contra el Active
Directory y la empresa dispone de una arquitectura con una DMZ (por lo
tanto se definen tres zonas: una parte externa, la DMZ y la parte interna).
Indica:
Dnde ubicaras el servidor web?
Dnde ubicaras el servidor de bbdd?
Dnde ubicaras el Active Directory?
El servidor web quedara a nivel externo de la red
privada interna
el Servidor de DB y DA quedaran en la red interna pasando por un firewall

Ejercicio 3
En el contexto de la criptografa de clave pblica, qu es y para qu se utiliza
una clave privada?
Es el uso de una pareja de claves publica y privadas, normal mente un usuario
contiene dos tipos de clave una que es privada que no la conoce nadie y la otra la
que conoce los dems para que puedan intercambian informacin con servicios
especficos.

Qu podra hacer un intruso que consiguiera hacerse con nuestra clave

privada (por ejemplo, despus de acceder de forma no autorizada a nuestra
mquina)? Qu deberamos hacer al enterarnos de este hecho?
Emitir de nuevo un par de claves (privada/publica) e igualmente especificar el tipo
de suplantacin que fue realizado por intrusos, para que al momento de compartir
informacin entre cliente y servidor las entidades ya tengan la aclaracin e
intencin de nuevas credenciales de comunicacin.

Con qu dificultados se encontrar este intruso si se encuentra con que el

fichero que almacena nuestra clave privada ha sido cifrado con la cifra DES?
se le ara fcil el acceso debido a que es un tipo de encriptacin muy inseguro a
no ser que se cuente con criptografa 3tdes que es cifrada por 64 bits la cual la
hace muy segurida de acuerdo al tipo de combinaciones que realiza este algoritmo
entre ellas considerando lo siguiente:
Las partes principales del algoritmo son las siguientes:

fraccionamiento del texto en bloques de 64 bits (8 bytes),

permutacin inicial de los bloques,
particin de los bloques en dos partes:
denominadas I yD respectivamente,
fases de permutacin y de sustitucin
(denominadasrondas),

izquierda
repetidas

y
16

derecha,
veces

reconexin de las partes izquierda y derecha, seguida de la permutacin

inicial inversa.

Fraccionamiento del texto

Se basa en un sistema monoalfabtico, con un algoritmo de cifrado consistente en
la aplicacin sucesiva de varias permutaciones y sustituciones. Inicialmente el
texto en claro a cifrar se somete a una permutacin, con bloque de entrada de 64
bits (o mltiplo de 64), para posteriormente ser sometido a la accin de dos
funciones principales, una funcin de permutacin con entrada de 8 bits y otra de
sustitucin con entrada de 5 bits, en un proceso que consta de 16 etapas de
cifrado.
En general, DES utiliza una clave simtrica de 64 bits, de los cuales 56 son
usados para la encriptacin, mientras que los 8 restantes son de paridad, y se
usan para la deteccin de errores en el proceso.

Fuentes:
http://neo.lcc.uma.es/evirtual/cdd/tutorial/presentacion/des.html

Qu ocurrir si olvido la clave DES que he utilizado durante la creacin de mi

clave RSA?
De acuerdo a la entidad con la que se cre el tipo de cifrado, puedo reestablecer
mi contrasea con el mismo tipo de algoritmo.
Qu es y para qu se utiliza una clave pblica?
Para establecer comunicacin e igualmente compartir informacin a travs de
mecanismos cliente servidor.
Qu es un certificado de clave pblica?
Considerado como un certificado digital ya que es un documento digital
mediante el cual un tercero confiable a una autoridad de certificacin garantiza la
vinculacin entre la identidad de un sujeto o entidad (por ejemplo: nombre,
direccin y otros aspectos de identificacin) y una clave pblica.
Fuente:
http://www.uma.es/secretariageneral/newsecgen/index.php?
option=com_content&view=categories&id=43&Itemid=139

Qu implicaciones tiene para la seguridad que un certificado no est firmado

por una autoridad sino que sea de tipo auto-firmado?
Que si un certificado no es previamente firmado por una entidad de confianza sus
claves de cifrado no pueden considerarse secretas pudiendo emitir mensajes de
suplantacin o errores de comunicacin con los servicios, ya que no sera
considerado de confianza. Esto pudiera funcionar para entornos que fueran
utilizados como pruebas.
Cmo se valida una firma digital?
Hay entidades que se encargan de validar esta informacin de la siguiente forma:
La verificacin de la autenticidad confirma que el certificado del firmante o sus
certificados principales existen en la lista de identidades de confianza del
validador. Tambin confirma si el certificado de firma es vlido segn la
configuracin de Acrobat o Reader del usuario.

La verificacin de integridad de documento confirma si el contenido firmado ha

cambiado despus de su firma. Si cambia el contenido, la verificacin de
integridad de documento confirma si el contenido ha cambiado de un modo
permitido por el firmante.
Definir preferencias de verificacin de firmas
Abra el cuadro de dilogo Preferencias.
En Categoras, seleccione Firmas.
Para Verificacin, haga clic en Ms.
Para validar automticamente todas las firmas de un PDF al abrir el documento,
seleccione Verificar firmas al abrir el documento. Esta opcin est activada de
forma predeterminada.
Seleccione las opciones de verificacin y haga clic en Aceptar.
Comportamiento de verificacin
Al verificar
Estas opciones especifican mtodos que determinan qu plug-in se debe elegir al
verificar una firma. A menudo, el plug-in se selecciona automticamente. Pngase
en contacto con el administrador del sistema para conocer los requisitos de plug-in
concretos para validar firmas.
Requerir que la comprobacin de revocacin de certificados sea correcta siempre
que sea posible...
Comprueba el certificado frente a una lista de certificados exlcuidos durante la
validacin. Esta opcin est activada de forma predeterminada. Si desactiva esta
opcin, el estado de revocacin para firmas de aprobacin se ignorar. El estado
de revocacin siempre se comprueba para las firmas de certificacin.
Hora de verificacin
Verificar firmas mediante
Seleccione una opcin para especificar cmo se comprueba la validez de la firma
digital. De forma predeterminada, se puede comprobar la hora segn cundo se
cre la firma. Como alternativa, compruebe cundo se firm el documento en
funcin de la hora actual o la hora establecida por un servidor de marca de hora.
Utilizar marcas de hora caducadas
Utiliza la hora segura proporcionada por la marca de hora o incrustada en la firma,
incluso si el certificado de la firma ha caducado. Esta opcin est activada de

forma predeterminada. La desactivacin de esta opcin permite descartar las

marcas de hora caducadas.
Informacin de verificacin
Especifica si se debe agregar la informacin de verificacin al PDF firmado. De
forma predeterminada se alerta al usuario cuando la informacin de verificacin es
demasiado grande.
Integracin de Windows
Especifique si se debe confiar en todos los certificados raz de la funcin
Certificados de Windows al validar las firmas y los documentos certificados. Al
seleccionar estas opciones se puede comprometer la seguridad.
Nota:
No es recomendable confiar en todos los certificados raz de la funcin
Certificados de Windows. Muchos certificados distribuidos con Windows se han
diseado para otros fines distintos al establecimiento de identidades de confianza.
Determinar el nivel de confianza de un certificado
En Acrobat o Reader, la firma de un documento certificado o firmado es vlida si
existe una relacin de confianza entre usted y el firmante. El nivel de confianza del
certificado indica las acciones para las que confa en el firmante.
Puede cambiar la configuracin de confianza de los certificados para permitir
determinadas acciones. Por ejemplo, puede cambiar la configuracin para habilitar
el contenido dinmico y el JavaScript incrustado en el documento certificado.
Abra el cuadro de dilogo Preferencias.
En Categoras, seleccione Firmas.
Para Identidades y certificados de confianza, haga clic en Ms.
Seleccione Certificados de confianza a la izquierda.
Seleccione un certificado de la lista y haga clic en Editar Confianza.
En la ficha Confianza, seleccione uno de los elementos siguientes para confiar en
este certificado:
Utilizar este certificado como una raz de confianza
El certificado raz es la autoridad de origen en la cadena de autoridades de
certificados que emitieron el certificado. Si confa en el certificado raz, confa en
todos los certificados emitidos por esa autoridad de certificados.
Documentos o datos firmados
Reconoce la identidad del firmante.

Documentos certificados
Confa en documentos que el autor ha certificado con una firma. Confa en el
firmante para certificar documentos y acepta las acciones que realice el
documento certificado.
Cuando se selecciona esta opcin, estn disponibles las siguientes opciones:
Contenido dinmico
Permite la reproduccin de pelculas, sonidos y otros elementos dinmicos en un
documento certificado.
JavaScript privilegiado incrustado
Permite la ejecucin del JavaScript privilegiado incrustado en archivos PDF. Los
archivos JavaScript pueden utilizarse de forma malintencionada. Resulta prudente
seleccionar esta opcin slo cuando sea necesario en aquellos certificados en los
que confe.
Operaciones del sistema privilegiadas
Permite conexiones a Internet, secuencias de comandos entre dominios,
impresin silenciosa, referencias a objetos externos y operaciones de metodologa
de importacin/exportacin en documentos certificados.
Nota:
Solo debe permitir JavaScript privilegiado incrustado y Operaciones del sistema
privilegiadas para fuentes en las que confe y con las que colabore estrechamente.
Por ejemplo, utilice estas opciones para su empleador o proveedor de servicios.
Haga clic en Aceptar, cierre el cuadro de dilogo Configuracin de ID digital y
certificado de confianza y, a continuacin, haga clic en Aceptar en el cuadro de
dilogo Preferencias.
Fuentes:
http://www.emezeta.com/articulos/como-firmar-pdf-con-certificado-digital
http://helpx.adobe.com/es/acrobat/using/validating-digital-signatures.html

En una longitud mxima de unas 20 lneas, explique como funciona un

sistema de autenticacin de entidad basado en el envo de una contrasea,
comentando tambin las ventajas e inconvenientes de las distintas opciones
en lo concerniente a la seguridad.

4.
Conocer un sistema de cifrado ibe, el cual es el que permite la generacin de
claves privadas conocidas como pkg private key generator antes de empezar
alguna operacin donde interacten para el envi de informacin a travs de
medios cifrados Ejemplo:
Alicia prepara un mensaje de texto plano M para B. Ella usa la identidad de
Bob IDBob y la pkPKG para encriptar M, obteniendo un mensaje cifrado C. Alice
enva C a Bob. Observar que ID Bob y pkPKG son ya conocidos antes de que Alice
comience a cifrar el mensaje a Bob. Por tanto no se requiere coordinacin o
preparacin con Bob para enviarle un mensaje cifrado.
Bob recibe un mensaje cifrado C de Alice. En la mayora de las
implementaciones se asume que C viene con instrucciones en texto plano para
contactar con el PKG y obtener la clave privada requerida para desencriptar el
mensaje. Bob se autentica con el PKG, esencialmente envindole suficiente
informacin para probar que el IDBoble pertenece a l. Una vez probado el PKG
le transmite a Bob su clave privada sk IDBob a travs de un canal seguro. Por
ejemplo si el IDBob est basado en una direccin de correo electrnico, el PKG
podra enviarle un mensaje a este email para que Bob responda con una
accin que provea un nivel de fiabilidad suficiente de que el propietario del
IDBob es el que realmente responde al mensaje que el PKG envi. Por ejemplo
el mensaje que enva el PKG podra tener un identificador que podra ser
devuelto va un link https en cual se puede usar para descargar su clave
privada. Para tener un alto nivel de fiabilidad, a Bob se le podra requerir
presentar sus credenciales en persona y recibir un compact disc conteniendo el
skIDBob

Bob descifra C usando su clave privada sk IDBob para recuperar el mensaje

en texto plano M

Una variacin de el proceso descrito ms arriba es que el PKG pueda desencriptar

C para Bob y transmitrselo de forma segura mediante autenticacin. Este sistea
es usado a veces para incrementar la facilidad de uso del proceso de descifrado.
Se puede ver claramente el punto dbil de la IBE: Todas las claves privadas tienen
que ser creadas por el PKG.

La autenticidad de la clave pblica est garantizada implcitamente debido a que el

transporte de la clave privada al usuario correspondiente es segura (Autenticidad,
Integridad y Confidencialidad)

Ventasjas
No se necesita ninguna preparacin por parte del receptor para recibir un
mensaje cifrado.
No se necesita ninguna gestin de infraestructura de clave pblica, incluida
gestin de CRLs.
Observar que tanto el cifrado como la firma puede ser realizado por el PKG.
Por tanto se elimina la propiedad del no-repudio en la mayora de los casos.
Pero esta propiedad hace posible otras propiedades que no son posibles en
los sistemas basado en PKI donde el firmante es el nico propietario de su
clave privada:
Firmas Camalen, en la cual slo el destinatario es capaz de asegurar la
validez de la firma.7
Mejorar la amigabilidad del sistema haciendo que el PKG gestione las
operaciones criptogrficas para el usuario y no requerir instalacin de
clientes en hardware del usuario. Esto puede ser especialmente poderoso
en el caso donde una empresa quiera adoptar una poltica donde cualquier
mensaje de cierta nivel de sensibilidad sea automticamente firmado o
cifrado usando herramientas como la bsqueda de palabras clave en el
contenido del mensaje, expresiones regulares en los que reciben o en el
que enva el mensaje. Los usuarios no necesitan modificar su forma de
operar.8

Si los usuarios no tienen que recibir su clave pblica y por tanto se

mantiene slo en el PKG, normalmente podemos asegurar un nivel de
seguridad mucho ms alto que si estuviera en el equipo del usuario.

Usando criptografa basada en certificados.

Usando criptografa con claves seguras. En ellas el nivel de confiaza en

el PKG se reduce dispersando las claves maestras a travs de mltiples
PKG's. Esto incrementa la seguridad del sistema pero reduce el
rendimiento

Usando criptografa sin certificados

Usando tcnicas de para almacenamiento compartido de secretos.

Ejemplo el esquema de Shamir

Explique, en una longitud mxima de unas 20 lneas, qu son los protocolos

de autenticacin de tipo reto-respuesta y de qu forma se evitan algunos
inconvenientes de la autenticacin basada en el envo de una contrasea.

Los protocolos desafo-respuesta (en ingls challenge-response protocol) son

una familia de protocolos que permiten la autenticacin de entidades mediante el
siguiente sistema:
1. Una parte (verificador) presenta una cuestin (desafo)
2. La parte que se quiere autenticar recibe la cuestin y elabora una respuesta
que enva al verificador
3. El verificador recibe la respuesta y evala si la respuesta responde
correctamente a la cuestin, y por tanto la entidad que envi la respuesta
queda autenticado, o no.
Clasificacion

Los protocolos de desafo-respuesta se pueden clasificar atendiendo a si se

aprovechan o no de tcnicas criptogrficas en su implementacin. As podemos
hablar de protocolos desafo-respuesta criptogrficos (los que se apoyan en
tcnicas criptogrficas) y protocolos desafo-respuesta no criptogrficos.

Entre los protocolos desafo-respuesta no criptogrficos los ms habituales son:

Autenticacin mediante contrasea. Es el ms simple de los protocolos

desafo-respuesta. El desafo consiste en preguntar la contrasea y la
respuesta consiste en responder con la contrasea correcta. Claramente un
adversario que escuche la contrasea podr autenticarse respondiendo con
esa contrasea capturada (ataque de replay), saltndose as la seguridad del
sistema.

Uso de mltiples contraseas cada una asociadas a un identificador

distinto. Son vulnerables a ataques de replaysi se captura adems de la
contrasea el identificador.

Uso de protocolos de contrasea de un solo uso que no utilicen tecnologas

criptogrficas.

Protocolos desafo-respuesta criptogrficos

Entre los protocolos desafo-respuesta criptogrficos los ms habituales son:

Uso de protocolos de contrasea de un solo uso que utilizan tecnologas

criptogrficas.

Uso de funciones hash criptogrficas tipo MAC. La clave de la funcin MAC

es compartida por el verificador y el que se quiere autenticar y es mantenida
en secreto por ambos. El verificador genera un mensaje aleatorio al que
llamamos nonce. El que se quiere autenticar responde con el resultado de
aplicar la funcin MAC sobre ese nonce.

Uso de algoritmos de cifrado simtrico. La clave secreta es compartida por

el verificador y el que se quiere autenticar. El protocolo funciona de forma
anloga a como los hace con las funciones MAC

Uso de algoritmos de firma digital. El que se quiere autenticar firma con la

clave privada un mensaje generado por el verificador. El verificador slo tiene
que verificar la firma con la clave pblica.