INSTITUTO TECNOLGICO DE

VILLAHERMOSA

ING. TECNOLOGIAS DE LA
INFORMACIN Y COMUNICACIONES
SEGURIDAD EN SISTEMAS DE
INFORMACION

5.3 Proteccin a nivel de red y

transporte (SSL/TLS/WTLS)
Alumnos:
Avalos Rodrguez Samuel.
Luna Prez David Fernando
Morales Alcudia Javier.
Prez Gonzlez Fernando de Jess

MIS. Rosa Gmez Domnguez.

Villahermosa, Tabasco, noviembre

de 2016.
ndice

Introduccin.......................................................................................................... 1
Desarrollo............................................................................................................. 2
Seguridad informtica, para qu?........................................................................2
Protocolos de seguridad....................................................................................... 3
Qu son SSL/TLS/WTLS?.................................................................................. 4
SSL............................................................................................................... 4
Arquitectura........................................................................................................... 5
SSL. Funcionamiento.............................................................................................. 6
SSL Handshake Protocol......................................................................................... 6
SSL Protocolos de capa superior.............................................................................. 7
SSL servicios de seguridad...................................................................................... 8
SSL Problemas...................................................................................................... 8
TLS................................................................................................................ 8
WTLS............................................................................................................. 9
Para qu sirven?............................................................................................. 10
Protocolo de Registros SSL/TLS.........................................................................13
Ataques contra el protocolo SSL/TLS...................................................................14
Aplicaciones que utilizan SSL/TLS.......................................................................14
Conclusin.......................................................................................................... 15
Referencias......................................................................................................... 16
Introduccin
A medida que las redes de computadoras comenzaron a desarrollarse, se
buscaron nuevas aplicaciones para dar uso a esta vasta herramienta y pronto fue
necesario contar con servicios que permitieran dar seguridad a los datos que eran
compartidos entre hosts.
El correo electrnico sirve como un claro ejemplo. Las cuentas pueden ser
utilizadas para transferir informacin de gran importancia y la escases de
seguridad puede provocar que algn tercero mal intencionado intercepte los
mensajes compartidos y lleve a cabo acciones de suplanta miento o robo de
informacin.
Fue as como en 1995 la empresa de software Netscape Communications
desarroll SSL 1.0, para aplicaciones seguras en transacciones comerciales
electrnicas. Las fallas encontradas en las primeras versiones daran paso a
sucesivas mejoras y a una estandarizacin como protocolo cuyo resultado se
convirti en lo que hoy es conocido como Transport Layer Securitiy.

1
Desarrollo
Seguridad informtica, para qu?
o Comparticin
Muchos usuarios involucrados, ms atacantes potenciales
o Complejidad del sistema
Complejidad de los controles de seguridad
o Lmite desconocido
Identidad incierta de usuarios
o Mltiples puntos de ataque
Mecanismo de proteccin en todo el camino de la informacin
En cuanto a la informacin, se compromete:
Privacidad
Integridad
Autenticidad
Disponibilidad

Ataques ms comunes
Rastreadores o sniffers
Suplantacin de IP o Spoofing
Ataques de contraseas
Control de salida ilegal de informacin sensible desde una fuente interna
Ataques de hombre en el medio ( o man-in-the-middle attacks)
Ataques de denegacin de servicio, Denial of Service o ataques DoS
Ataques a nivel de aplicacin para explorar vulnerabilidades conocidas
Caballos de Troya (Trojan Horses), virus y otros cdigos maliciosos
Mecanismos de seguridad
De prevencin
Autentificacin e identificacin
Control de acceso
Separacin (fsica, temporal, lgica, criptogrfica y fragmentacin)
Seguridad en las comunicaciones (cifrado de informacin)
De deteccin
DS (Intruder Detected System)
De recuperacin
Copias de seguridad (backup)
Mecanismo de anlisis forense: averiguar alcance, las actividades del
intruso en el sistema y como entr

2
Protocolos de seguridad
Los protocolos TLS (como SSL) se encuentran entre la capa del protocolo de
aplicacin y la capa de TCP/IP, donde pueden proteger y enviar los datos de la
aplicacin a la capa de transporte. Dado que los protocolos funcionan entre la
capa de aplicacin y la capa de transporte, TLS y SSL pueden admitir varios
protocolos de capa de aplicacin.
TLS y SSL da por supuesto que el transporte orientado a conexiones,
normalmente TCP est en uso. El protocolo permite que las aplicaciones de
cliente y servidor detectar los riesgos de seguridad siguientes:
Manipulacin del mensaje
Intercepcin de mensajes
Falsificacin de mensajes

TLS (Transport Layer Security) es un protocolo de comunicacin, en el cual, se

establece una conexin segura entre cliente y servidor por medio de un canal
cifrado.
Este ha evolucionado de su antecesor SSL (Secure Sockets Layer) ambos
creados por Netscape1.
El intercambio de informacin con TLS/SSL se realiza en un entorno seguro y libre
de ataques. La ltima propuesta de estndar est documentada en la referencia
RFC 2246.
TLS/SSL son ampliamente necesarios en el trnsito de informacin debido:
Prevenir escuchas (eavesdropping).
Evitar la falsificacin de la identidad del remitente Mantener la integridad del
mensaje en una aplicacin cliente-servidor.
Establecer una conexin segura entre dos partes.
Aplicaciones distintas deben poder intercambiar parmetros criptogrficos
sin necesidad de que ninguna de las dos conozca el cdigo de la otra.
Permitir la incorporacin de nuevos algoritmos criptogrficos.
Eficiencia. Los algoritmos criptogrficos son costosos computacionalmente,
por lo que el protocolo incluye un esquema de cache de sesiones para
reducir el nmero de sesiones que deben inicializarse desde cero.

3
Qu son SSL/TLS/WTLS?
SSL
SSL significa "Secure Sockets Layer". SSL Definicin, Secure Sockets Layer es un
protocolo diseado para permitir que las aplicaciones para transmitir informacin
de ida y de manera segura hacia atrs. Las aplicaciones que utilizan el protocolo
Secure Sockets Layer s sabe cmo dar y recibir claves de cifrado con otras
aplicaciones, as como la manera de cifrar y descifrar los datos enviados entre los
dos.
El protocolo SSL fue desarrollado por Ntscape en 1994 y puesto en dominio
pblico para la definicin de canales seguros sobre TCP. Su objetivo es la
realizacin de conexiones seguras a los servidores independientes del Sistema
Operativo de los externos del canal.
Cmo funciona el SSL? Algunas aplicaciones que estn configurados para
ejecutarse SSL incluyen navegadores web como Internet Explorer y Firefox, los
programas de correo como Outlook, Mozilla Thunderbird, Mail.app de Apple, y
SFTP (Secure File Transfer Protocol) programas, etc. Estos programas son
capaces de recibir de forma automtica SSL conexiones.
Para establecer una conexin segura SSL, sin embargo, su aplicacin debe tener
una clave de cifrado que le asigna una autoridad de certificacin en la forma de un
Certificado. Una vez que haya una nica clave de su cuenta, usted puede
establecer una conexin segura utilizando el protocolo SSL.
Est compuesto por dos capas:

1. La primera capa (SSL Record Protocol), encapsula los protocolos de nivel

ms alto y construye el canal de comunicaciones seguro
2. La segunda capa est formada por tres protocolos:
SSL Handshake protocol encarga de gestionar la negociacin de los
algoritmos de cifrado, y la autenticacin entre el cliente y el servidor.
SSL Assert Protocol sealiza errores yproblemas en la sesin
establecida.
Change Cipher Espec Protocol consiste en un solo mensaje de 1 byte
que sirve para notificar cambios en la estrategia de cifrado.

4
Arquitectura

5
SSL. Funcionamiento
Su funcionamiento es el siguiente:
El cliente al hacer la conexin informa sobre los sistemas criptogrficos que tiene
disponibles, y el servidor responde con un identificador de la conexin, su clave
certificada e informacin sobre los sistemas criptogrficos que soporta
El cliente deber elegir un sistema criptogrfico, verificar la clave pblica del
servidor. Entonces se genera una clave cifrada con la clave del servidor
Este es uno de los puntos importantes del protocolo SSL, porque si alguien
pudiese descifrar la informacin, slo conseguira romper esa conexin, y una
conexin posterior requerira una clave criptogrfica diferente
Una vez finalizado este proceso, los protocolos toman el control de nivel de
aplicacin, de modo que SSL nos asegura que:
Los mensajes que enviamos o recibimos no han sido modificados
Ninguna persona sin autorizacin puede leer la informacin transmitida
Efectivamente recibe la informacin quien debe recibirla

SSL Handshake Protocol

o Genera los parmetros criptogrficos del estado de la sesin
o Opera sobre el SSL Record Layer Protocol
o Tiene dos mecanismos de negociacin de sesin:
o Full Handshake (1 conexin)
o Abbreviated Handshake (conexiones posteriores)

6
SSL Protocolos de capa superior

Versin actual SSL 3.0

SSL es capaz de trabajar de forma transparente con todos los protocolos
que trabajan sobre TCP
Para ello el IANA tiene asignado un nmero de puerto por defecto a cada
uno de ellos

7
SSL servicios de seguridad
1. Confidencialidad
Cifrado y descifrado
2. Autenticacin
Autenticacin basada en certificado
Criptosistema de clave pblica
3. Integridad
Message Authentication Code (MAC)
4. No repudio
Certificado
Firma digital

SSL Problemas
Slo trabaja sobre TCP (no UDP ni IPX)
Crear sesin SSL sobre TCP y cifrar los paquetes UDP con el fruto de esa
negociacin. Requiere que cada paquete UDP pueda descifrarse por
separado y se cifre con claves distintas

No repudio de transacciones
SSL lo implementa si ambos extremos tienen certificados
Usar S/MIME sobre SSL

Ineficiencia debido al handshake inicial

Cachear las sesiones (vlido para HTTP, pero no para otros)
Uso de hardware especializado que acelere el trfico SSL
o Tarjeta aceleradora integrada en cada servidor SSL
o Dispositivo externo y autnomo dedicado exclusivamente al cifrado y
descifrado SSL (compartido por todos los servidores SSL)
o Dispositivo que integra el balanceo de carga con el cifrado SSL

TLS
TLS es un protocolo cuyo objetivo es proteger y autenticar las comunicaciones en
una red pblica a travs del cifrado de datos.
Un protocolo que proporciona privacidad de las comunicaciones en Internet
usando criptografa simtrica con las claves especficas para la conexin y las
comprobaciones de integridad del mensaje. TLS proporciona algunas mejoras
sobre SSL en seguridad, confiabilidad, interoperabilidad y extensibilidad.

8
WTLS
El protocolo Wireless Transport Layer Security (WTLS), perteneciente a la familia
de protocolos WAP (Wireless Application Protocol) para el acceso a la red des de
dispositivos mviles. La mayora de los protocolos WAP son adaptaciones de los
ya existentes a las caractersticas de las comunicaciones inalmbricas, y en
particular el WTLS est basado en el TLS 1.0
Wireless Transport Layer Security o WTLS (seguridad para la capa de transporte
en comunicaciones inalmbricas) es un protocolo de seguridad, perteneciente al
conjunto de protocolos de Wireless Application Protocol (WAP)
WTLS deriva del protocolo TLS. WTLS utiliza una semntica similar adaptada para
dispositivos mviles con menor ancho de banda. Las adaptaciones son:
Estructuras de datos comprimidas: Cuando es posible el tamao de los
paquetes son reducidos utilizando Bit field, descartando redundancia y
truncando algunos elementos criptogrficos.
Nuevo formato de certificado: WTLS define un formato de certificado
comprimido. El mismo cumple en lneas generales con la estructura del
certificado X.509 v3, pero utiliza estructuras de datos ms pequeas.
Diseo basado en paquetes: TLS fue diseado para utilizarse sobre flujo de
datos (data stream). WTLS adapta ese diseo para que sea ms apropiado
para una red basada en transmisin de paquetes. Una parte significativa de
este diseo est basado en el requerimiento de que sea posible utilizar una
red de paquetes como por ejemplo SMS como capa de transporte.
WTLS fue reemplazado en el estndar WAP 2.0 por el estndar End-to-end
Transport Layer Secur
WTLS utiliza modernos algoritmos criptogrficos y tal como lo realiza TLS permite
negociacin de mtodos criptogrficos entre el cliente y el servidor.
Algoritmos
Algunos de los algoritmos:
Intercambio de Claves y Certificaciones
RSA (Sistema Criptogrfico con Clave Pblica)
Criptografa de curva elptica (CCE)
Criptografa simtrica
DES
Triple DES
RC5
Resumen del mensaje (message digest)
MD5

9
 SHA1

Para qu sirven?
Para evitar hacer modificaciones a la infraestructura en el nivel de red, en
seguridad, se introducen medidas de ms fcil aplicacin en el nivel de transporte.
El ms popular de los protocolos en la capa de transporte es el SSL y sus
derivados.
El objetivo inicial del diseo del protocolo SSL fue proteger las conexiones entre
clientes y servidores web con el protocolo HTTP.
Las funciones de seguridad no se implementaron directamente en el protocolo de
aplicacin HTTP, si no que se opt por introducirlas a nivel de transporte.
Con este fin se desarroll una interfaz de acceso a los servicios del nivel de
transporte basada en la interfaz estndar de los sockets. En esta nueva interfaz,
funciones como connect, accept, send o recv fueron sustituidas por otras
equivalentes pero que utilizaban un protocolo de transporte seguro:
SSL_connect
SSL_accept
SSL_send
SSL_recv
Socket es la combinacin de una direccin IP y un puerto. Fueron desarrollados
en la Universidad de Berkeley en 1983 y son el mecanismo ms ampliamente
utilizado para implantar aplicaciones de red.
socket: crea un nuevo punto de comunicacin
bind: conecta el socket a la direccin local
listen: anuncia que acepta conexiones
accept: bloquea el llamador hasta que un intento de conexin arriba
connect: intenta activamente establecer una conexin
send: enva datos a travs de la conexin
receive: recibe datos a travs de la conexin
close: cierra la conexin
El diseo se realiz de tal modo que cualquier aplicacin que utilizara TCP a
travs de las llamadas de los sockets poda hacer uso del protocolo SSL
solamente cambiando estas llamadas.
Una caracterstica distintiva del WTLS es que no solamente permite proteger
conexiones TCP, como hacen SSL y TLS, sino que tambin define un mecanismo
de proteccin para las comunicaciones en modo datagrama, usadas en diversas
aplicaciones mviles.

10
Servicios
Confidencialidad.
El flujo normal de informacin en una conexin SSL/TLS consiste en
intercambiar paquetes con datos cifrados mediante claves simtricas (por
motivos de eficiencia y rapidez)
Siempre se utilizan dos claves distintas: una para los paquetes enviados del
cliente al servidor, y la otra para los paquetes enviados en sentido contrario.
El algoritmo concreto para este intercambio tambin se negocia durante el
establecimiento de la conexin.
Cifrado simtrico
El cifrado simtrico es la tcnica ms antigua y ms conocida. Una clave secreta,
que puede ser un nmero, una palabra o una simple cadena de letras aleatorias,
se aplica al texto de un mensaje para cambiar el contenido de una manera
determinada. Esto puede ser tan simple como cambiar cada letra por un nmero
de lugares en el alfabeto. Siempre y cuando el remitente y el destinatario conocen
la clave secreta, pueden cifrar y descifrar todos los mensajes que utilizan esta
clave.
Autenticacin de entidad.

11
 Con un protocolo de reto-respuesta basado en firmas digitales el cliente
pude confirmar la identidad del servidor al cual se ha conectado. Para
validar las firmas el cliente necesita conocer la clave pblica del servidor, y
esto normalmente se realiza a travs de certificados digitales.
SSL/TLS tambin prev la autenticacin del cliente frente al servidor. Esta
posibilidad, pero, no se usa tan a menudo porque muchas veces, en lugar
de autenticar automticamente el cliente a nivel de transporte, las mismas
aplicaciones utilizan su propio mtodo de autenticacin.
Firma Digital
Es un mtodo criptogrfico que asocia una identidad ya sea de una persona en
particular o de un equipo a un mensaje enviado a travs de transmisin por la red.
Con la firma digital debe cumplirse que el receptor debe ser capaz de verificar la
identidad del sujeto transmisor. El transmisor no puede rechazar el contenido del
mensaje que ha expedido. El receptor no deber ser capaz de poder construir el
mensaje el mismo.
Autenticacin de mensaje.
Cada paquete enviado en una conexin SSL/TLS, a ms de ir cifrado, puede
incorporar un cdigo MAC para que el destinatario compruebe que nadie ha
modificado el paquete. Las claves secretas par el clculo de los cdigos MAC (una
para cada sentido) tambin se acuerdan de forma segura en el dilogo inicial.
Funcionalidad
Eficiencia. Dos de las caractersticas de SSL/TLS, la definicin de sesiones
y la compresin de los datos, permiten mejorar la eficiencia de la
comunicacin. En el establecimiento de cada conexin se especifica un
identificador de sesin, que permite saber si la conexin empieza una
sesin nueva o es continuacin de otra.
Extensibilidad. Al inicio de cada sesin, cliente y servidor negocian los
algoritmos que utilizarn para el intercambio de claves, la autenticacin y el
cifrado (a ms del algoritmo de compresin).
Transporte Seguro
La subcapa superior se encarga bsicamente de negociar los parmetros
de seguridad y de transferir los datos de la aplicacin. Tanto los datos de
negociacin como los de aplicacin se intercambian en mensajes.
En la subcapa inferior, estos mensajes son estructurados en registros a los
cuales se les aplica, segn corresponda, la compresin, la autenticacin
y el cifrado.

12
Protocolo de Registros SSL/TLS
El protocolo de registros SSL/TLS se encarga de formar cada registro con sus
campos correspondientes, calcular el MAC, y cifrar los datos, el MAC y el padding
con los algoritmos y las claves que pertocan.

El protocolo de negociacin SSL/TLS, tambin llamado protocolo de encajada de

manos (Handshake Protocol), tiene por finalidad autenticar el cliente y/o el
servidor, y acordar los algoritmos y claves que se utilizaran de forma segura, es
decir, garantizando la confidencialidad y la integridad de la negociacin.

13
Ataques contra el protocolo SSL/TLS
Lectura de paquetes
Suplantacin de servidor/cliente
Alteracin de paquetes
Repeticin, eliminacin o reordenamiento
Nota: La seguridad del protocolo est sustentada en la seguridad del servidor.
Aplicaciones que utilizan SSL/TLS
HTTPS (HTTP sobre SSL/TLS): el protocolo ms utilizado actualmente para
la navegacin web segura.
NNTPS (NNTP sobre SSL): para el acceso seguro al servicio de News.

Funcionan igual que HTTP Y NNTP, respectivamente. Slo que adems usan la
capa de transporte seguro que proporciona SSL/TLS y la asignacin de nmeros
de puerto TCP propios: 443 para HTTPS y 563 para NNTPS.
Algunas aplicaciones cuentan con mecanismos de extensin para soportar SSL,
para no ampliar la cantidad de puertos innecesariamente, stas son:
TELNET, usando la opcin de autenticacin
FTP, usando las extensiones de seguridad
SMTP, usando sus extensiones para SSL/TLS
POP3 y IMAP, tambin usando comandos especficos para SSL/TLS

14
Conclusin
Se concluye que TLS es un protocolo de gran importancia para muchas
aplicaciones en la red. Es un estndar en comunicacin segura y los navegadores
y servidores lo utilizan por defecto.
Gracias a los servicios que proporciona los terminales en una red pueden
autenticarse sin tener contacto directo y llevar a cabo operaciones de extrema
importancia (como el pago de arancel universitario) sin temor a que terceros
hagan mal uso de la informacin intercambiada (i.e. informacin de cuenta
bancaria). Finalmente, si bien el protocolo busca proporcionar seguridad, siempre
ser posible romperla, sin embargo, las continuas mejoras que se han realizado
permiten convertir esto en una tarea difcil.

15
Referencias
DigiCert. Capa de conexin segura SSL. Recuperado de:
https://www.digicert.com/es/ssl.htm
Fernndez, M. Proteccin a nivel de transporte. Recuperado de:
http://es.slideshare.net/maferguz/proteccin-a-nivel-de-transporte-
28808072
MSDN Library. Protocolo de seguridad de la capa de transporte.
Recuperado de: https://msdn.microsoft.com/es-
es/library/dn786441(v=ws.11).aspx
Universidad Tcnico Santa Mara. Protocolo TLS. Recuperado de:
http://profesores.elo.utfsm.cl/~agv/elo322/1s14/projects/reports/G5/Infor
me%20TLS.pdf
Uiversidad de Sevilla (DTe Departamento de Tecnologa Electrnica).
Seguridad en redes y protocolos asociados. Recuperado de:
http://www.dte.us.es/personal/mcromero/docs/ip/tema-seguridad-IP.pdf

16