CLICK HERE FOR THOUSANDS OF FREE BLOGGER TEMPLATES »

jueves, 5 de marzo de 2009

GPG O GNU PRIVACY GUARD

es una herramienta para cifrado y FIRMAS DIGITALES, que viene a ser un reemplazo del PGP (Pretty Good Privacy) pero con la principal diferencia que essoftware libre licenciado bajo la GPL.GPG utiliza el estándar del IETF denominado OPENPGP

Este modelo es referenciado por el estándar openpgp (prety good privacity) privacidad bastante buena. Su función es proteger la información que se distribuye por la internet mediante el uso de criptografía de calve publica, así como facilitar la autenticación de documentos gracias a firmas digitales.

La finalidad de GPG es cifrar los mensajes usando pares de claves individuales asimetricas generadas por los usuarios este par de llaves son una privada que solo debe conocer el propietario para desencriptar los mensajes que fueron encriptados con la llave publica que se genero al mismo tiempo que la privada, nuestra priavada nos sirve para firmas digitales. Y Las llaves publicas que pueden ser compartidas con otros usuarios para encriptar los mensajes; hay muchas maneras de compartirlas, por ejemplo depositándolas en los servidores de claces. Siempre deben ser compartidas cuidadosamente para prevenir falsas identidades por la corrupción de las claves públicas. También es posible añadir una firma digital criptográfica a un mensaje, de esta manera la totalidad del mensaje y el remitente pueden ser verificados en caso de que se desconfíe de una correspondencia en particular.

GNU GPG

lunes, 2 de marzo de 2009

ssl en windows server 2003

Ssl en Windows Server 2003

ssl en debian etch

SSL en debian etch

IPsec Internet Protocol security

DEFINICION IPSEC

Es un conjunto de protocolos, cuya función es asegurar las comunicaciones sobre el protocolo de Internet (IP) mediante la autenticación y/o cifrando de cada paquete IP en un flujo de datos
Actúa en la capa 3 del modelo OSI

Otros protocolos de seguridad, como SSL y TLS, operan desde la capa de transporte hacia arriba (capas 4 a 7). Esto hace a IPsec más flexible, pues puede ser usada para proteger tanto protocolos basados en TCP o UDP, pero incrementa su complejidad y procesamiento.
Inicialmente fue desarrollado para usarse con el nuevo estándar Ipv6 (donde es obligatorio), aunque posteriormente se adaptó a Ipv4 (donde es opcional).

CARACTERISTICAS
• Extensión del protocolo IP

• Servicios criptográficos de seguridad basados en estándares definidos por
el IETF

• Encriptación y autenticación a nivel de red
• Transparente al usuario: no se tienen que modificar los
Sistemas finales

• Cifrar el tráfico (de forma que no pueda ser leído por nadie más que las partes a las que está dirigido)
• Validación de integridad (asegurar que el tráfico no ha sido modificado a lo largo de su trayecto)
• Autenticar a los extremos (asegurar que el tráfico proviene de un extremo
de confianza)
• Anti-repetición (proteger contra la repetición de la sesión segura).

• Los paquetes tienen la misma apariencia que un paquete IP corriente
• Combina distintas tecnologías: Diffie Hellman, encriptación
Clave pública,
DES, funciones hash, certificados digitales...


MODOS BASICOS DE OPERACION

• MODO TRANSPORTE: Esta permite el cifrado y la autenticación solo de la parte útil del mensaje, utilizada principalmente para comunicaciones de ordenador a ordenador, este modo siempre estará asegurado por un hash que brinda la capa de transporte y aplicación.
• Un mecanismo de encapsulación UDP como NAT permite que los paquetes pasen a través de los cortafuegos.

ALGUNOS ASPECTOS
• Solo se encriptan los datos, la cabecera intacta
• Añade pocos bytes
• Permite ver las direcciones de origen y de destino

• MODO TUNEL: En este modo todo paquete completo es cifrado y autenticado, luego es encapsulado en un nuevo paquete IP para que se de el enrutamiento, este es utilizado principalmente para comunicaciones de red a red (túneles seguros entre routers, o para VPNs) o comunicaciones ordenador a red u ordenador a ordenador sobre Internet.

ALGUNOS ASPECTOS
• uno de los extremos de la comunicación es un Gateway
• Se encripta el paquete IP entero
• Para el sistema final es transparente

Authentication header (AH)
AH garantizar integridad sin conexión y autenticación de los datos de origen de los datagramas IP. Para ello, calcula un Hash Message Authentication Code (HMAC) a través de algún algoritmo hash operando sobre una clave secreta, el contenido del paquete IP y las partes inmutables del datagrama. AH puede proteger opcionalmente contra ataques de repetición utilizando la técnica de ventana deslizante y descartando paquetes viejos. AH protege la carga útil IP y todos los campos de la cabecera de un datagrama IP excepto los campos mutantes, es decir, aquellos que pueden ser alterados en el tránsito. En IPv4, los campos de la cabecera IP mutantes (y por lo tanto no autenticados) incluyen TOS, Flags, Offset de fragmentos, TTL y suma de vefificacion de la cabecera. AH opera directamente por encima de IP, utilizando el protocolo IP número 51. Una cabecera AH mide 32 bits. (ah firma el paquete y brinda autenticidad, integridad, no repudio, "no garantiza confidencialidad") Algoritmos = sha md5

Encapsulating Security Payload (ESP)
ESP proporciona autenticidad de origen, integridad y protección de confidencialidad de un paquete. ESP también soporta configuraciones de sólo cifrado y sólo autenticación, pero utilizar cifrado sin autenticación está altamente desaconsejado porque es inseguro. Al contrario que con AH, la cabecera del paquete IP no está protegida por ESP (aunque en ESP en modo túnel, la protección es proporcionada a todo el paquete IP interno, incluyendo la cabecera interna; la cabecera externa permanece sin proteger). ESP opera directamente sobre IP, utilizando el protocolo IP número 50. (cifra el paquete y brinda autenticidad, integridad, no repudio, confidencialidad) Algoritmos = 3des aes blowfish



IKE
El protocolo para Intercambio de Claves en Internet es el encargado en la infraestructura IPSec de proporcionar un entorno previo seguro para la compartición de una clave secreta y autenticación de los extremos. IKE utiliza el puerto 500 de UDP para establecer el intercambio de mensajes pertinente. Por lo general se implementa como una aplicación en espacio de usuario, al no formar parte del núcleo de muchos sistemas operativos. (autentica los participantes, nagocia las AS, escoger claves simetricas.

SP: políticas de seguridad
lo que queremos hacer y almacena protocolos a proteger, ip de los participantes, la SA asociada

SPD: es la base de datos de la políticas de seguridad

AS: asociaciones de seguridad
como lo vamos a hacer, unidireccional y almacena claves secretas, algoritmos, ip de los participantes.

ASD: es la base de datos de las asociaciones de seguridad


Configuración IPsec en Debían Etch