ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Redes

Elard GuevaraDocumentos de Investigación1 de Octubre de 2015

2.653 Palabras (11 Páginas)122 Visitas

Página 1 de 11

Comunicacion segura en redes usando IBC

1. Introduccion

Las propuestas de seguridad en las primeras investigaciones son tpicamente

orientadas al ataque. A menudo primero identi can varias amenazas de seguridad

y luego mejoran el protocolo existente o proponen un nuevo protocolo para

combatirlas. Estas soluciones estan dise~nadas explcitamente en contra de los

modelos de ataque limitados. Estas funcionan bien en la presencia de ataques

designadas pero pueden colapsar bajo ataques combinados o no anticipados.

La criptografa se utiliza para proporcionar un marco general de dise~no.

Tecnicas de criptografa utilizadas se pueden clasi car en dos categoras, a saber,

basada en clave simetrica y basada en clave asimetrica. En los esquemas de

clave simetrica, si un atacante compromete la clave simetrica de un grupo de

usuarios, a continuacion, seran expuestos todos los mensajes encriptados para

ese grupo. Los esquemas de clave asimetrico pueden ofrecer mas funcionalidades

que las simetricas, por ejemplo, la distribucion de claves es mucho mas facil,

la autenticacion y el no repudio estan disponibles, el compromiso de una clave

privada de un usuario no revela mensajes cifrados para otros usuarios del grupo.

Sin embargo, por lo general, son computacionalmente caras. Criptografa

asimetrica tradicional amplia y e cazmente utilizado en Internet se basa en una

infraestructura de clave publica (PKI). El exito de PKI depende de la disponibilidad

y la seguridad de una Autoridad de Certi cacion (CA), un punto de

control central que todo el mundo confa. En general, la aplicacion de PKI mediante

el mantenimiento de un punto de control central claramente no siempre

es factible. Otro obstaculo que impide el empleo de PKI es la pesada sobrecarga

de transmision y almacenamiento de certi cados de clave publica (PKCS).

Criptografa basada en la identidad (IBC) es una forma especial de criptograf

a de clave publica. Es un enfoque para eliminar el requisito de una CA y

PKC. Desde 2001, IBC ha atrado cada vez mas la atencion de los investigadores

de seguridad. Algunas propiedades de IBC lo hacen especialmente adecuado

para estas conexiones.

Ventajas de IBC [8]:

Mas facil de implementar sin ningun requisito de infraestructura. Esto

ahorra la distribucion de certi cados, mientras que trae teclas pares "libres"

sin ninguna interaccion entre los nodos.

1

Sus necesidades de recursos, en relacion con el poder de proceso, espacio de

almacenamiento, ancho de banda de comunicacion, son mucho mas bajos.

La clave publica de IBC es auto-proveible y puede llevar mucha informaci

on util.

TSL es posiblemente el protocolo mas utilizado para las comunicaciones

seguras, con 18 a~nos de historia de las fallas y sus arreglos, que van desde su

logica protocolo para su dise~no criptogra co, y desde el estandar de Internet

para sus diversas implementaciones.

2. Protocolos

TCP las aplicaciones pueden comunicarse en forma segura (gracias al de

acuse de recibo -ACK- del protocolo TCP) independientemente de las

capas inferiores. Esto signi ca que los routers (que funcionan en la capa

de Internet) solo tiene que enviar los datos en forma de datagrama, sin

preocuparse con el monitoreo de datos porque esta funcion la cumple la

capa de transporte (o mas espec camente el protocolo TCP).

FTP protocolo de red para la transferencia de archivos entre sistemas

conectados a una red TCP (Transmission Control Protocol), basado en la

arquitectura cliente-servidor. Desde un equipo cliente se puede conectar

a un servidor para descargar archivos desde el o para enviarle archivos,

independientemente del sistema operativo utilizado en cada equipo.

SSH / TSL proporciona autenticacion y privacidad de la informacion entre

extremos sobre Internet mediante el uso de criptografa. Habitualmente,

solo el servidor es autenticado (es decir, se garantiza su identidad) mientras

que el cliente se mantiene sin autenticar.

3. Conexiones de red seguras

Como sucesor de Secure Sockets Layer (SSL), Transport Layer Security

(TLS) es un protocolo criptogra co que proporciona integridad, con dencialidad

y autenticidad de las comunicaciones de red en la capa de transporte de la

pila de protocolos TCP/IP. Consiste en el Protocolo de Registro TLS y el Protocolo

de enlace TLS. El Protocolo de Registro TLS utiliza el cifrado simetrico y

una clave secreta negociada para asegurar la conexion, por ejemplo, RC4, Triple

DES, AES, IDEA, DES, o camelia. Ademas, utiliza funciones hash para garantizar

la integridad de un mensaje, por ejemplo, HMAC-MD5 o SHA-HMAC.

El Protocolo de enlace TLS permite que el servidor y el cliente autenticarse

entre s y negociar parametros de protocolo, como un algoritmo de cifrado y

las claves criptogra cas. La identidad puede autenticarse utilizando algoritmos

criptogra cos asimetricos, por ejemplo, RSA, DSA, o ECDSA. Para el intercambio

de claves, diferentes algoritmos pueden ser utilizados, tales como RSA,

Die-Hellman, ECDH, SRP, o PSK.

2

3.1. Causas de la vulnerabilidad

Sin una infraestructura segura fundamental, defensa de la red se vuelve mas

difcil. Por otra parte, el Internet es un entorno extremadamente dinamico, tanto

en terminos de la topologa y la tecnologa emergente. Debido a la apertura

inherente de la Internet y el dise~no original de los protocolos, los ataques de

Internet en general son rapidos, faciles, baratos y pueden ser difciles de detectar

o rastrear.

Por eso los problemas que se suelen dar son:

Defectos en el software o en el protocolo de dise~no

Debilidad en la aplicacion de los protocolos y el software

Debilidad en las con guraciones del sistema y de la red

3.2. Tipos de Ataques

1. Sonda

Son intentos inusuales para obtener acceso a un sistema o para descubrir

informacion sobre el sistema. Un ejemplo es un intento de iniciar sesion

en una cuenta inusual. Las sondas son a veces seguido de un evento de

seguridad mas serio, pero a menudo son el resultado de la curiosidad o

confusion.

2. Escaneo

Es simplemente un gran numero de sondas utilizando una herramienta

automatizada. A veces puede que el resultado de una mala con guracion

u otro error, pero a menudo son el preludio de un ataque mas directo en

los sistemas en el que el intruso ha demostrado ser vulnerable.

3. Acceso a la cuenta

Es el uso no autorizado de una cuenta de equipo por una persona distinta

del titular de la cuenta, sin la participacion de privilegios a nivel de sistema

o de nivel raz. Este podra exponer a la vctima a graves perdidas de datos,

robo de datos, o el robo de servicios. La falta de acceso a nivel de raz

signi ca que el da~no por lo general puede ser contenido, sino una cuenta

de nivel de usuario es a menudo un punto de entrada para un mayor acceso

al sistema.

4. Acceso al root

Similar a a un acceso a la cuenta, excepto que la cuenta que se ha comprometido

tiene privilegios especiales en el sistema. El termino root se deriva

de una cuenta en los sistemas UNIX que normalmente tiene privilegios ilimitadas,

o "super usuario". Los intrusos que tienen exito en esto pueden

hacer casi cualquier cosa en el sistema de la vctima, incluyendo ejecutar

sus propios programas; cambiar como funciona el sistema, y ocultar los

rastros de su intrusion.

3

5. Packet sni er

Un analizador de paquetes es un programa que captura datos de paquetes

de informacion a medida que viajan por la red. Esos datos pueden

incluir los nombres de usuario, contrase~nas y la informacion propietaria

que viajan a traves de la red en el texto claro. Con cientos o miles de

contrase~nas capturadas por el sni er, los intrusos pueden lanzar ataques

generalizados en los sistemas. La instalacion de un analizador de paquetes

no requiere necesariamente un acceso privilegiado. Para la mayora

de los sistemas multi-usuario, sin embargo, la presencia de un analizador

de paquetes implica que ha habido un compromiso de root. Para eso la

propuesta

6. Denegacion de servicio

El objetivo de los ataques de denegacion de servicio no es obtener acceso

no autorizado a las maquinas o datos, sino para evitar que los usuarios

legtimos de un servicio de usarlo. Un ataque de denegacion de servicio

puede venir en muchas formas. Los atacantes pueden nundaruna red con

grandes volumenes de datos o deliberadamente consume una escasa o limitada

de recursos, tales como bloques de control de procesos o conexiones

de red pendientes. Tambien pueden interrumpir componentes fsicos de la

red o manipular los datos en transito, incluyendo los datos cifrados.

7. Explotacion de con anza

Las computadoras en redes suelen tener relaciones de con anza con los

otros. Por ejemplo, antes de ejecutar algunos

...

Descargar como (para miembros actualizados) txt (18 Kb) pdf (63 Kb) docx (23 Kb)
Leer 10 páginas más »
Leer documento completo Guardar
Disponible sólo en Clubensayos.com