Entrega 11 Redes

UNIVERSIDAD NACIONAL DE SAN CRISTÓBAL DE HUAMANGA
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS

REDES DE COMPUTADORAS
PROTOCOLOS DE TRANSPORTE
ING. KAREL PERALTA SOTOMAYOR 1

ESTABLECIMIENTO Y CIERRE DE LA CONEXIÓN

❑ El establecimiento de la conexión cumple tres objetivos principales:
1. Permite a cada extremo asegurarse de que el otro existe.
2. Permite el intercambio o negociación de parámetros opcionales (por ejemplo, el tamaño máximo del segmento, el
tamaño máximo de la ventana y la calidad de servicio).
3. Inicia la reserva de recursos de la entidad de transporte (por ejemplo, espacio de memoria temporal y entradas en la
tabla de conexiones).
❑ El establecimiento de la conexión se realiza por mutuo acuerdo, pudiéndose llevar a cabo mediante un conjunto sencillo
de órdenes de usuario y segmentos de control.

ESTABLECIMIENTO Y CIERRE DE LA CONEXIÓN

❑ Desde el estado CLOSED, el usuario TS (Transport Service) puede abrir una conexión emitiendo una orden Passive Open, la
cual instruye a la entidad de transporte para que intente establecer una conexión con un usuario TS remoto designado,
lo que hace que la entidad de transporte envíe un segmento SYN (para sincronizar).
❑ El segmento se entrega a la entidad de transporte receptora, donde se interpreta como una solicitud de conexión a un
puerto concreto.
❑ Si la entidad de transporte destino está en el estado LISTEN para ese puerto, entonces se establece una conexión por
medio de las acciones siguientes, realizadas por la entidad de transporte receptora:
▪ Informa al usuario TS local que una conexión está abierta.
▪ Envía un segmento SYN como confirmación a la entidad de transporte remota.
▪ Sitúa el objeto de conexión en el estado ESTAB (establecida).

ESTABLECIMIENTO Y
CIERRE DE LA
CONEXIÓN
▪ SYN es un bit de control

dentro del segmento TCP,
que se utiliza para
sincronizar los números
de secuencia iniciales
▪ FIN: Si este
indicador está
fijado en 1, se
interrumpe la
conexión.

SEGURIDAD EN REDES

CUESTIONES BÁSICAS
❑ Las amenazas a la seguridad de la red se dividen en dos categorías:
▪ las amenazas pasivas, llamadas a veces escuchas, que suponen el intento de un atacante de obtener información
relativa a una comunicación, y
▪ las amenazas activas, que suponen alguna modificación de los datos transmitidos o la creación de transmisiones
falsas.
❑ Hasta ahora, la herramienta automática más importante para la seguridad en red y de las comunicaciones es el cifrado.
En el cifrado simétrico, dos entidades comparten una sola clave de cifrado/descifrado. El principal reto del cifrado
simétrico consiste en la distribución y protección de las claves.

REQUISITOS DE SEGURIDAD Y ATAQUES

❑ La seguridad en computadores y en redes implica cuatro requisitos:
▪ Privacidad: se requiere que sólo entidades autorizadas puedan tener un acceso a la información. Este tipo de acceso
incluye la impresión, la visualización y otras formas de revelado, incluyendo el simple hecho de dar a conocer la
existencia de un objeto.
▪ Integridad: se requiere que los datos sean modificados solamente por partes autorizadas. La modificación incluye la
escritura, la modificación, la modificación del estado, la supresión y la creación.
▪ Disponibilidad: se requiere que los datos estén disponibles para las partes autorizadas.
▪ Autenticidad: se requiere que un computador o servicio sea capaz de verificar la identidad de un usuario.

ATAQUES PASIVOS
❑ Los ataques pasivos consisten en escuchas o monitorizaciones de las transmisiones. La meta del oponente es la de
obtener la información que está siendo transmitida. La divulgación del contenido de un mensaje y el análisis de tráfico
constituyen dos tipos de ataques pasivos.
❑ La divulgación del contenido de un mensaje se entiende fácilmente. Una conversación telefónica, un mensaje de correo
electrónico o un fichero transferido pueden contener información sensible o confidencial.
❑ Un segundo tipo de ataque pasivo, el análisis de tráfico, es más sutil.
▪ Suponga que disponemos de un medio para enmascarar el contenido de los mensajes u otro tipo de tráfico de
información, de forma que aunque los oponentes capturasen el mensaje, no podrían extraer la información del
mismo.
✓ La técnica más común para enmascarar el contenido es el cifrado.

ATAQUES ACTIVOS
❑ Los ataques activos suponen alguna modificación del flujo de datos o la creación de flujos falsos.
❑ Los podemos clasificar en 4 categorías: enmascaramiento, retransmisión, modificación de mensajes y denegación de
servicio.
▪ Un enmascaramiento tiene lugar cuando una entidad pretende ser otra entidad diferente. Un ataque por
enmascaramiento normalmente incluye una de las otras formas de ataques activos.
✓ ejemplo, se pueden capturar secuencias de autenticación y retransmitirlas después de que tenga lugar una
secuencia válida, permitiendo así obtener privilegios adicionales a otra entidad autorizada con escasos privilegios
mediante la suplantación de la entidad que los posee.
▪ La retransmisión supone la captura pasiva de unidades de datos y su retransmisión posterior para producir un
efecto no autorizado.
▪ La modificación de mensajes significa sencillamente que algún fragmento de un mensaje legítimo se modifica o que
el mensaje se retrasa o se reordena para producir un efecto no autorizado.
✓ ejemplo, un mensaje con un significado «Permitir a Juan García leer el fichero confidencial de cuentas» se
modifica para tener el significado «Permitir a Alfredo Castaño leer el fichero confidencial de cuentas»

ATAQUES ACTIVOS
▪ La denegación de servicio impide o inhibe el normal uso o gestión de servicios de comunicación. Este ataque puede
tener un objetivo específico.
✓ ejemplo, una entidad puede suprimir todos los mensajes dirigidos a un destino concreto (por ejemplo, al servicio de
vigilancia de seguridad). Otro tipo de denegación de servicio es la interrupción de un servidor o de toda una red,
bien deshabilitando el servidor o sobrecargándolo con mensajes con objeto de degradar su rendimiento.
ING. KAREL PERALTA SOTOMAYOR

10
PRIVACIDAD CON CIFRADO SIMÉTRICO

❑ La técnica universal para proporcionar privacidad en los datos transmitidos es el cifrado simétrico.
❑ Examinemos primero los conceptos básicos del cifrado simétrico y sigamos con una discusión sobre las dos técnicas de
cifrado simétrico más importantes:
▪ el estándar de cifrado de datos (DES, Data Encryption Standard) y
▪ el estándar de cifrado avanzado (AES, Advanced Encryption Standard).

CIFRADO SIMÉTRICO
❑ El cifrado simétrico, también denominado cifrado convencional o de clave única, era el único tipo de cifrado en uso
antes de la introducción del cifrado de clave pública a finales de la década de los setenta.
❑ De los dos tipos de cifrado, es todavía el más utilizado.
❑ Un esquema de cifrado simétrico tiene cinco ingredientes:
1. Texto nativo (plaintext): es el mensaje original o datos que se proporcionan como entrada del algoritmo.
2. Algoritmo de cifrado: el algoritmo de cifrado lleva a cabo varias sustituciones y transformaciones sobre el texto
nativo.
3. Clave secreta: la clave secreta es también una entrada del algoritmo de cifrado. Las sustituciones y transformaciones
concretas realizadas por el algoritmo dependen de la clave.
4. Texto cifrado (ciphertext): es el mensaje alterado que se produce como salida. Depende del texto nativo y de la
clave secreta. Para un mensaje dado, dos claves diferentes producen dos textos cifrados diferentes.
5. Algoritmo de descifrado: es esencialmente el algoritmo de cifrado ejecutado a la inversa.

CIFRADO SIMÉTRICO
Toma como entradas el texto cifrado y la clave secreta y produce como salida el texto nativo original.
❑ Existen dos requisitos para la utilización segura del cifrado simétrico:
1. Se necesita un algoritmo de cifrado robusto. Como mínimo, es de desear que el algoritmo cumpla que aunque un
oponente conozca el algoritmo y tenga acceso a uno o más textos cifrados, sea incapaz de descifrar el texto o
averiguar la clave. Este requisito se suele enunciar de una forma más estricta: el oponente debería ser incapaz de
descifrar el texto o descubrir la clave incluso si él o ella poseyera varios textos cifrados junto a sus correspondientes
textos nativos.
2. El emisor y el receptor tienen que haber obtenido las copias de la clave secreta de una forma segura y deben
mantenerla en secreto. Si alguien puede descubrir la clave y conoce el algoritmo, toda comunicación que utilice esta
clave puede ser leída.

CIFRADO SIMÉTRICO
Modelo simplificado de cifrado simétrico.

EJEMPLO DE CIFRADO DE MENSAJE: ANA ENVÍA UN MENSAJE A DAVID
1. Ana redacta un mensaje

2. Ana cifra el mensaje con la clave pública de David
3. Ana envía el mensaje cifrado a David a través de internet, ya sea por correo electrónico, mensajería instantánea o cualquier otro medio
4. David recibe el mensaje cifrado y lo descifra con su clave privada
5. David ya puede leer el mensaje original que le mandó Ana

AUTENTICACIÓN DE MENSAJES Y FUNCIONES DE DISPERSIÓN (HASH)

❑ El cifrado protege contra los ataques pasivos (escuchas).
❑ Proteger contra ataques activos (falsificación de datos y transacciones) constituye un requisito diferente.
▪ La protección contra tales ataques se conoce como autenticación de mensajes.

AUTENTICACIÓN DE MENSAJES Y FUNCIONES DE DISPERSIÓN (HASH)
Local Remoto
Clave simétrica
Mensaje a mandar Mensaje compartida
recibido
Pay to Terry Smith $100.00
Clave simétrica Pay to Terry Smith $100.00
One Hundred and xx/100 Dollars One Hundred and xx/100 Dollars
compartida
1
Función Función
Hash Hash
Pay to Terry Smith $100.00

One Hundred and xx/100 Dollars
2
4ehIDx67NMop9 4ehIDx67NMop9 4ehIDx67NMop9
Mensaje + Hash

ALTERNATIVAS PARA LA AUTENTICACIÓN DE MENSAJES

❑ Un mensaje, fichero, documento u otro conjunto de datos se dice estar autenticado cuando es genuino y proviene del
origen pretendido.
❑ La autenticación de mensajes es un procedimiento que permite a las partes que se comunican verificar que los mensajes
recibidos son auténticos.
❑ Los dos aspectos importantes son verificar que el contenido del mensaje no se ha alterado y que el origen es auténtico.
❑ También podemos desear verificar la temporización de un mensaje (que no haya sido artificialmente retrasado y
retransmitido) y
❑ verificar su secuencia relativa a los otros mensajes que se transmitan entre las dos partes.

CIFRADO DE CLAVE PÚBLICA Y FIRMAS DIGITALES

❑ El cifrado de clave pública tiene la misma importancia que el cifrado simétrico, empleándose en la autenticación de
mensajes y distribución de claves.

CIFRADO DE CLAVE PÚBLICA

❑ El cifrado de clave pública, propuesto públicamente por primera vez por Diffie y Hellman en 1976, es el primer avance
realmente revolucionario en cuanto algoritmos de cifrado en, literalmente, miles de años. Y esto es debido a que el
algoritmo de clave pública se basa en funciones matemáticas en lugar de en operaciones simples sobre patrones de bits.
❑ Debemos mencionar varios conceptos erróneos comunes relacionados con el cifrado de clave pública.
▪ Uno de ellos es que el cifrado de clave pública es más seguro frente a criptoanálisis que el cifrado simétrico.
▪ En realidad, la seguridad de cualquier esquema de cifrado depende de:
1. la longitud de la clave y
2. el esfuerzo computacional que requiere romper un cifrado.
❑ No hay nada en principio del cifrado simétrico o de clave pública que haga a uno superior respecto al otro desde el
punto de vista de su resistencia frente al criptoanálisis.

(Rivest, Shamir y Adleman)
Ronald Rivest, Adi Shamir

y Leonard Adelman



Un esquema de cifrado de clave pública se compone de seis ingredientes:
1. Texto nativo: es el mensaje legible o los datos que se suministran como entrada al algoritmo.
2. Algoritmo de cifrado: el algoritmo de cifrado lleva a cabo varias transformaciones sobre el texto nativo.
3. Claves pública y privada: este es un par de claves que han sido seleccionadas para que, si una se utiliza para el
cifrado, la otra se use para el descifrado.
4. Texto cifrado: es el mensaje desordenado producido como salida. Depende del texto nativo y de la clave. Para un
mensaje dado, dos claves diferentes producirán dos textos cifrados diferentes.
5. Algoritmo de descifrado: este algoritmo acepta el texto cifrado y la clave correspondiente, produciendo el texto
nativo original.
❑ Como el propio nombre sugiere, la clave pública del par se hace pública para que la utilicen otros, mientras que la clave
privada es conocida solamente por el dueño.
❑ Todo algoritmo de criptografía de clave pública de propósito general se basa en una clave para el cifrado y en una clave
diferente, pero relacionada, para el descifrado.


Características importantes:
❑ Para la mayoría de los esquemas de clave pública, cualquiera de las dos claves relacionadas puede utilizarse para el
cifrado, utilizando la otra para el descifrado.
Los pasos esenciales son los siguientes:

1. Cada usuario genera un par de claves que van a ser utilizadas para el cifrado y el descifrado de los mensajes.
2. Cada usuario publica una de las dos claves de cifrado en un registro público o en otro fichero accesible. Ésta es la clave
pública. La clave compañera se mantiene privada.
3. Si Roberto desea enviar un mensaje privado a Alicia, él cifra el mensaje utilizando la clave pública de Alicia.
4. Cuando Alicia recibe el mensaje, lo descifra utilizando su clave privada. Ningún otro destinatario puede descifrar el
mensaje, ya que solamente Alicia conoce la clave privada de Alicia.

FIRMA DIGITAL
❑ El cifrado de clave pública se puede utilizar de otra forma.
▪ Suponga que Roberto quiere enviar un mensaje a Alicia y, aunque no es importante que el mensaje se mantenga
secreto, quiere que Alicia tenga la certeza de que el mensaje proviene efectivamente de él.
▪ En este caso, Roberto utiliza su propia clave privada para cifrar el mensaje. Cuando Alicia recibe el texto cifrado,
comprueba que puede descifrarlo con la clave pública de Roberto, demostrando así que el mensaje ha tenido que
ser cifrado por Roberto. Nadie más tiene la clave privada de Roberto y, por tanto, nadie más ha podido crear el texto
cifrado que pudo ser descifrado con su clave pública.
▪ De esta forma, todo el mensaje cifrado sirve como firma digital. Además, es imposible alterar el mensaje sin acceder
a la clave privada de Roberto, por lo que el mensaje está autenticado en términos de origen e integridad de los
datos.

CAPA DE SOCKETS SEGURA (SSL) Y CAPA DE TRANSPORTE SEGURA (TLS)

❑ Uno de los servicios de seguridad más ampliamente utilizados es el de capa de sockets segura (SSL) y el posterior
estándar de Internet conocido como capa de transporte segura (TLS),
❑ SSL es un servicio de propósito general implementado como un conjunto de protocolos que hacen uso de TCP. En este
nivel, existen dos elecciones de implementación. Para una completa generalidad, SSL (o TLS) podría suministrarse como
parte de la familia de protocolos subyacente y, de esta forma, ser transparente a las aplicaciones.
❑ Alternativamente, SSL puede integrarse en paquetes específicos.
▪ ejemplo, los navegadores Netscape y Microsoft Explorer vienen equipados con SSL y la mayoría de los servidores
web implementan este protocolo.

ARQUITECTURA SSL
❑ SSL está diseñada para hacer uso de TCP con objeto de proporcionar un servicio fiable y seguro extremo a extremo.
❑ El protocolo de registro de SSL proporciona servicios básicos de seguridad a varios protocolos de capas superiores. En
particular, el protocolo de transferencia de hipertexto (HTTP), que proporciona el servicio de transferencia para la
interacción entre cliente y servidor web, puede operar sobre SSL.
Tres protocolos de capas superiores se definen como parte de SSL:
▪ el protocolo de negociación bilateral,
▪ el protocolo de cambio de especificación del cifrado, y
▪ el protocolo de alerta.
❑ Dos conceptos importantes de SSL son la sesión SSL y la conexión SSL, que se definen en la especificación de la
siguiente forma:
▪ Conexión: una conexión es un transporte (tal y como se define en el modelo de capas OSI) que proporciona un tipo
de servicio adecuado. En SSL, dichas conexiones son relaciones entre pares. Las conexiones son transitorias. Cada
conexión se asocia con una sesión.
▪ Sesión: una sesión SSL es una asociación entre un cliente y un servidor. Las sesiones las crea el protocolo de
negociación bilateral. Éstas definen un conjunto de parámetros de seguridad criptográficos, que pueden
compartirse entre múltiples conexiones. Las sesiones se utilizan para evitar la costosa negociación de nuevos
parámetros de seguridad para cada conexión.
ARQUITECTURA SSL
Pila de protocolos de SSL

PROTOCOLO DE REGISTRO DE SSL

❑ El protocolo de registro de SSL proporciona dos servicios para las conexiones SSL:
▪ Privacidad: el protocolo de negociación bilateral establece una clave secreta compartida que es utilizada para el
cifrado simétrico de cargas útiles SSL.
▪ Integridad del mensaje: el protocolo de negociación bilateral también define una clave secreta que se utiliza para
formar un código de autenticación de mensaje (MAC).
❑ La siguiente Figura muestra el funcionamiento general del protocolo de registro de SSL.



▪ El primer paso es la fragmentación. Se fragmenta cada mensaje de la capa superior en bloques de 214 bytes (16.384
bytes) o menos.
▪ A continuación, opcionalmente, se aplica compresión.
▪ El siguiente paso en el procesamiento es calcular un código de autenticación de mensaje sobre los datos
comprimidos.
▪ Después, el mensaje comprimido más el MAC son cifrados utilizando un cifrado simétrico.
▪ El último paso del procesamiento del protocolo de registro de SSL consiste en insertar una cabecera que consta de
los siguientes campos:
✓ Tipo de contenido (8 bits): indica el protocolo de la capa superior utilizado para procesar el fragmento adjunto.
✓ Número principal de versión (8 bits): indica el número principal de la versión de SSL que se utiliza. Para SSLv3
este valor es 3.
✓ Número secundario de versión (8 bits): indica el número secundario de la versión de SSL que se utiliza. Este valor
es 0 para SSLv3.
✓ Longitud de la compresión (16 bits): se trata de la longitud en bytes del fragmento de texto nativo (o del
fragmento comprimido si se ha utilizado compresión). Su valor máximo es 214 + 2.048.

SEGURIDAD EN IPV4 E IPV6

❑ En 1994, la Junta de Arquitectura de Internet (IAB, Internet Architecture Board) publicó un informe titulado «Seguridad
en la arquitectura de Internet» (RFC 1636).
❑ El informe exponía el consenso general de que Internet necesita más y mejor seguridad e identificaba las áreas clave
para mecanismos de seguridad.
❑ Entre estos se encontraban la necesidad de asegurar la infraestructura de red contra la monitorización no autorizada, el
control del tráfico de red y la necesidad de asegurar el tráfico de usuario final a usuario final utilizando mecanismos de
autenticación y cifrado.
Estas preocupaciones están plenamente justificadas por el Equipo de Respuesta a Emergencias en Computadores
(CERT, Computer Emergency Response Team)
▪ Los tipos de ataques más serios incluían la falsificación de dirección IP (IP spoofing), en la que un intruso crea
paquetes con direcciones IP falsas y explota las aplicaciones que utilizan la autenticación basada en direcciones IP.
▪ También se incluían varias formas de escuchas y captura de paquetes (packet sniffing), en las que los atacantes leen
la información transmitida, incluyendo información de ingreso en sistemas y contenido de bases de datos.

Entrega 11 Redes

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Entrega 11 Redes

Загружено:

Авторское право:

Доступные форматы

UNIVERSIDAD NACIONAL DE SAN CRISTÓBAL DE HUAMANGA

ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS

ING. KAREL PERALTA SOTOMAYOR 1

ESTABLECIMIENTO Y CIERRE DE LA CONEXIÓN

ING. KAREL PERALTA SOTOMAYOR 2

ESTABLECIMIENTO Y CIERRE DE LA CONEXIÓN

ING. KAREL PERALTA SOTOMAYOR 3

▪ SYN es un bit de control

ING. KAREL PERALTA SOTOMAYOR 4

ING. KAREL PERALTA SOTOMAYOR 5

ING. KAREL PERALTA SOTOMAYOR 6

REQUISITOS DE SEGURIDAD Y ATAQUES

ING. KAREL PERALTA SOTOMAYOR 7

ING. KAREL PERALTA SOTOMAYOR 8

ING. KAREL PERALTA SOTOMAYOR 9

ING. KAREL PERALTA SOTOMAYOR

PRIVACIDAD CON CIFRADO SIMÉTRICO

ING. KAREL PERALTA SOTOMAYOR 11

ING. KAREL PERALTA SOTOMAYOR 12

ING. KAREL PERALTA SOTOMAYOR 13

Modelo simplificado de cifrado simétrico.

ING. KAREL PERALTA SOTOMAYOR 14

EJEMPLO DE CIFRADO DE MENSAJE: ANA ENVÍA UN MENSAJE A DAVID

1. Ana redacta un mensaje

ING. KAREL PERALTA SOTOMAYOR 15

AUTENTICACIÓN DE MENSAJES Y FUNCIONES DE DISPERSIÓN (HASH)

ING. KAREL PERALTA SOTOMAYOR 16

AUTENTICACIÓN DE MENSAJES Y FUNCIONES DE DISPERSIÓN (HASH)

Pay to Terry Smith $100.00

ING. KAREL PERALTA SOTOMAYOR 17

ALTERNATIVAS PARA LA AUTENTICACIÓN DE MENSAJES

ING. KAREL PERALTA SOTOMAYOR 18

CIFRADO DE CLAVE PÚBLICA Y FIRMAS DIGITALES

ING. KAREL PERALTA SOTOMAYOR 19

CIFRADO DE CLAVE PÚBLICA

ING. KAREL PERALTA SOTOMAYOR 20

CIFRADO DE CLAVE PÚBLICA

(Rivest, Shamir y Adleman)

Ronald Rivest, Adi Shamir

ING. KAREL PERALTA SOTOMAYOR 21

CIFRADO DE CLAVE PÚBLICA

ING. KAREL PERALTA SOTOMAYOR 22

CIFRADO DE CLAVE PÚBLICA

ING. KAREL PERALTA SOTOMAYOR 23

CIFRADO DE CLAVE PÚBLICA

Los pasos esenciales son los siguientes:

ING. KAREL PERALTA SOTOMAYOR 24

ING. KAREL PERALTA SOTOMAYOR 25

CAPA DE SOCKETS SEGURA (SSL) Y CAPA DE TRANSPORTE SEGURA (TLS)

ING. KAREL PERALTA SOTOMAYOR 26

Pila de protocolos de SSL

ING. KAREL PERALTA SOTOMAYOR 28

PROTOCOLO DE REGISTRO DE SSL

ING. KAREL PERALTA SOTOMAYOR 29

PROTOCOLO DE REGISTRO DE SSL

ING. KAREL PERALTA SOTOMAYOR 30

PROTOCOLO DE REGISTRO DE SSL

ING. KAREL PERALTA SOTOMAYOR 31

SEGURIDAD EN IPV4 E IPV6

ING. KAREL PERALTA SOTOMAYOR 32

Вам также может понравиться