Protocolos SSL/TLS: Estados

Estados de los protocolos SSL/TLS:

• Write: Define los algoritmos y la clave usados para procesar los datos que envía un computador.
• Active: Define los algoritmos y la clave usados para procesar los datos que recibe un computador.
• Pending: Define los algoritmos y la clave que un computador ya tiene asignados para encriptar/desencriptar los datos que envía/recibe, pero cuya activación está aún pendiente.
• Active: Define los algoritmos y la clave que un computador ya tiene activados para encriptar/desencriptar los datos que envía/recibe.

Comunicación cifrada solamente: (ClientHello, ServerHello, ServerKeyExchange, ServerDone, ClientKeyExchange, ChangeCipherSpec, Finished, ChangeCipherSpec, Finished)

Comunicación cifrada + autenticación misma clave: (ClientHello, ServerHello, Certificate, ServerHelloDone, ClientKeyExchange, ChangeCipherSpec, Finished, ChangeCipherSpec, Finished)

Comunicación cifrada + autenticación distinta clave: (ClientHello, ServerHello, Certificate, ServerKeyExchange, ServerHelloDone, ClientKeyExchange, ChangeCipherSpec, Finished, ChangeCipherSpec, Finished)

Comunicación cifrada + autenticación servidor y cliente: (ClientHello, ServerHello, Certificate, ServerKeyExchange, Certificate Request, ServerHelloDone, Certificate, ClientKeyExchange, CertificateVerify, ChangeCipherSpec, Finished, ChangeCipherSpec, Finished)

Reutilización de sesiones: (ClientHello, ServerHello, ChangeCipherSpec, Finished, ChangeCipherSpec, Finished)

Autenticación Local

Medios de autenticación:

• Algo que el usuario conoce: contraseña (se roba, adivina, olvida)
• Algo que el usuario posee: token (se roba, pierde, falsifica)
• Algo que el usuario es: biometría estática
• Algo que el usuario hace: biometría dinámica (aceptación, coste, falsa autenticación)

Ataques a contraseñas: ataque de diccionario, ataque a cuenta específica, ataque a contraseña popular, adivinar contraseña usuario específico, explotar errores usuarios, explotar uso múltiple misma contraseña.

Elección de contraseñas seguras: (Longitud contraseña razonable, No debe adivinarse fácilmente)

Características elementales contraseña segura: (No se puede encontrar en un diccionario, Contiene números y caracteres personales, Contiene mezcla mayúsculas y minúsculas, Longitud mínima de 10 caracteres No se puede adivinar basándose en datos de usuario)

Comprobaciones: reactiva (el sistema ejecuta su comprobador de contraseñas periódicamente) proactiva (el usuario selecciona su contraseña y el sistema comprueba si es aceptable)

Ataque de Diccionario

(Usar todas las contraseñas de un diccionario pasándolas por una función hash y comparándolo con el almacenado en el fichero de contraseñas, el salt obliga a resumir cada contraseña del diccionario específicamente para cada usuario, se optimiza usando tablas arcoíris, proteger al máximo el fichero de contraseñas)

Cortafuegos (Firewalls)

Elemento de control ubicado entre la red local e internet para:

• Consolidar mecanismo de seguridad.
• Implementar alarmas y monitorización.
• Implementar VPN basadas en IPsec.

Limitaciones:

• No proteger contra ataques que eluden a los cortafuegos.
• No protege amenazas internas.
• No protege contra accesos vía WLAN.
• No protege contra malware importado.
• No protege contra transferencia de archivos infectados.

Tipos:

• Según funcionamiento:
  • Filtro de paquetes.
  • Filtro de paquetes con inspección de datos.
  • Pasarelas aplicación.
  • Pasarelas circuito.
• Según ubicación:
  • Host bastión.
  • Basados en host.
  • Personal.

Filtros de paquetes: Estos cortafuegos son routers que filtran paquetes a nivel de transporte, red o enlace. Rápidos, transparentes y escalables. Soporta ataques de: Suplantación de IP, ataques de encaminamiento de origen y de fragmentación de cabeceras.

Filtros de paquete con inspección de estados: Estos cortafuegos revisan la información de las cabeceras de los paquetes y además mantienen y usan la información sobre las conexiones TCP. A diferencia de filtros de paquetes, estos crean un directorio de conexiones TCP salientes y solo permite la entrada en esos puertos que están en el directorio.

Pasarelas nivel aplicación: Estos cortafuegos actúan como relays del tráfico a nivel de aplicación. Son más seguras que filtros, pero hay una sobrecarga para procesar cada conexión. La pasarela debe tener el código intermedio (proxy) para cada aplicación soportada.

Pasarelas nivel circuito: Las pasarelas a nivel de circuito se establecen dos conexiones TCP simultáneas: con un usuario interno y con un host externo. Estas no analizan los paquetes. Funcionan en la capa de transporte. Reduce sobrecarga conexiones salientes.

Cortafuegos Bastión: es un cortafuegos que funciona como una pasarela a nivel de aplicación y/o circuito.

Cortafuegos basados en host: es un módulo software usado para proteger a un host individual, estos filtran y limitan el tráfico de paquetes, las reglas de filtrado pueden ser adaptadas al entorno del host, la protección es independiente a la topología y proporciona una capa de protección adicional.

Cortafuegos Personales: controla el tráfico entre un PC y la red corporativa/internet. Son menos complejos y su función principal es impedir acceso remoto no autorizado, monitorizar salida del PC y bloquear gusanos.

Malware y Antimalware

Cualquier software que impide el funcionamiento normal del computador y se ejecuta sin el consentimiento del usuario.

Tipos:

• Virus
• Puertas traseras (cualquier software que permite eludir el proceso normal de autenticación)
• Troyanos (software que ejecuta comandos sin autorización)
• Gusanos (software que se replica a sí mismo y usa red para enviar copias)
• Bombas lógicas o de tiempo (software que permanece latente hasta que se activa por un evento)
• Spyware: (software que recopila información sobre una persona u organización sin su consentimiento)
• Adware: (cualquier software que descarga y visualiza anuncios)

Niveles:

• Ninguna (funciona mal o bromas pesadas)
• Baja (requiere acción humana para propagarse)
• Media (se autopropaga y hace poco daño o ninguno)
• Alta (se autopropaga rápido y hace daño)

Fases:

• Latente (virus inactivo y será activado por algún evento futuro)
• Propagación (se copia a sí mismo en otros ejecutables, zonas del sistema o discos)
• Activación (se activa para realizar la función para la que fue diseñado)
• Ejecución (virus realiza su función)

Tipos:

• Sector de arranque: se instala en el primer sector de una unidad de disco para que sea lo primero que se ejecuta al arrancar, esto le permite ejecutar acciones maliciosas.
• Archivos ejecutables: se instala en archivo ejecutable que actúa como portador.
• Macro: se instala en documento Word, Excel… y aprovechan las macros para robar información, infectar otros documentos…
• De correo electrónico: se instala en el programa de correo electrónico de un sistema, se replica enviándose a sí mismo y puede ser propagamiento lento o rápido según el nivel de amenaza.

Antivirus Generación:

• Escáneres sencillos (utilizan firmas para identificar virus, solo detectan las firmas conocidas).
• Escáneres heurísticos (utilizan reglas heurísticas para buscar virus, analizar bloques de código asociados con virus). Estos también comprueban integridad de programas.
• Monitores de actividad (programas que residen en memoria e identifican a los virus por acciones).
• Combinaciones (son combinaciones y métodos de generaciones previas).

Esquema: necesita anfitrión (puerta trasera, troyano, bomba lógica, virus) independientes (gusano, zombie), se autoreplican (virus, gusano, zombie)