Envío y Recepción de Datos en Redes TCP/IP

El proceso de envío y recepción de datos en el stack de protocolos TCP/IP del host origen opera desde las capas superiores hacia las capas inferiores. A continuación, se describe el procedimiento cuando un servidor Web envía una página HTML a un cliente:

• Capa de Aplicación (HTTP): El protocolo HTTP entrega los datos de la página Web (formato HTML) a la capa de transporte.
• Capa de Transporte (TCP): La capa de transporte divide los datos en segmentos TCP. A cada segmento se le añade un encabezado y se envían a la capa de Internet.
• Capa de Internet (IP): En esta capa, el protocolo IP encapsula el segmento TCP dentro de un paquete IP, al cual se le agrega un encabezado IP. Posteriormente, se envían a la capa de acceso a la red.
• Capa de Acceso a la Red (Ethernet): El protocolo Ethernet encapsula el paquete IP en una trama, añadiendo un tráiler. Finalmente, la tarjeta de interfaz de red (NIC) del servidor codifica los bits para su transmisión a través del medio Ethernet.

Necesidades de Seguridad en Diferentes Entornos de Red

Las exigencias de seguridad varían significativamente según el tipo de red:

• Redes Internas (LAN): Al ser redes propietarias de la empresa, su manejo y seguridad se rigen por las políticas internas establecidas.
• Redes Externas: En entornos donde la conectividad es provista por terceros, el control sobre la seguridad es limitado, haciendo indispensable el uso de la criptografía.
• Intranet: Estas redes, aunque se presenten como redes privadas internas para los usuarios, operan sobre redes externas. La falta de control directo sobre la seguridad en su infraestructura subyacente hace necesario el empleo de la criptografía.

Métodos Básicos de Cifrado

Existen dos enfoques principales para implementar el cifrado:

• Cifrado de Enlace: Implementado en la Capa 2 del modelo OSI (equivalente a la Capa de Acceso a la Red en TCP/IP). Cifra todo el mensaje, incluyendo las cabeceras de niveles superiores. Requiere que todos los nodos intermedios posean capacidades de cifrado/descifrado. La información está protegida entre cada par de nodos consecutivos, utilizando claves distintas para cada enlace.
• Cifrado Extremo a Extremo: Se realiza en la Capa 7 del modelo OSI (equivalente a la Capa de Aplicación en TCP/IP). Únicamente se cifran los datos, mientras que las cabeceras se añaden y transmiten sin cifrar. El cifrado de los datos se mantiene desde el origen hasta el destino final.

3.3 La Seguridad en la Web

La World Wide Web, al ser una aplicación cliente-servidor que opera sobre redes TCP/IP, presenta desafíos significativos en materia de seguridad. Estos retos se derivan de:

• Posibles ataques dirigidos a los servidores Web.
• El riesgo de pérdida o alteración de información corporativa y de productos.
• Vulnerabilidades presentes en el software de desarrollo Web.
• Ataques locales que pueden facilitar el secuestro y la encriptación de información.
• La falta de conocimiento por parte de los usuarios sobre los riesgos y las precauciones necesarias.

Ataques Más Comunes en la Web

• Rastreadores o sniffers.
• Suplantación de IP o spoofing.
• Ataques de contraseñas.
• Control de salida ilegal de información sensible desde fuentes internas.
• Ataques de hombre en el medio (man-the-middle attacks).
• Ataques de denegación de servicio (DoS).
• Ataques a nivel de aplicación para explotar vulnerabilidades conocidas (exploits).
• Caballos de Troya (Trojan Horses), virus y otros códigos maliciosos.

Mecanismos de Seguridad

Los mecanismos de seguridad se pueden clasificar en:

• De Prevención:
  • Mecanismos de autenticación e identificación.
  • Mecanismos de control de acceso.
  • Mecanismos de separación (física, temporal, lógica, criptográfica y fragmentación).
  • Mecanismos de seguridad en las comunicaciones (cifrado de la información).
• De Detección:
  • Sistemas de detección de intrusos (IDS).
• De Recuperación:
  • Copias de seguridad (backup).
  • Mecanismos de análisis forense.

Clases de Ataques

• Ataques Pasivos: Interceptan el tráfico entre navegadores y servidores para acceder a información restringida.
• Ataques Activos: Involucran suplantación, alteración de mensajes en tránsito o modificación de información en un sitio Web.

Clasificación de Ataques según su Localización

• Servidor Web.
• Navegador Web.
• Tráfico de red entre navegador y servidor.

(Consideraciones: integridad, confidencialidad, denegación de servicio, autenticación: ataques, consejos, precauciones)

3 Formas Básicas de Implementar Seguridad Web

La seguridad Web se implementa a través de los protocolos que operan en el stack TCP/IP:

• a) Nivel de Red: Protocolos como HTTP, FTP, SMTP, TCP, y especialmente IP/IPSec, proveen servicios de proxy, encriptación y criptografía.
• b) Nivel de Transporte: Protocolos como HTTP, FTP, SMTP, junto con SSL o TLS, operando sobre TCP e IP.
• c) Nivel de Aplicación: Protocolos como s/mime, Kerberos, SMTP, HTTP, operando sobre UDP y TCP, e IP.

3.4 Ataques Sobre las Comunicaciones

Los ataques sobre las comunicaciones pueden manifestarse de diversas formas:

1. Divulgación: Liberación de información a personas no autorizadas.
2. Análisis sobre el Tráfico: Descubrimiento de patrones de tráfico para determinar el número y duración de los mensajes.
3. Mascarada: Inserción de mensajes fraudulentos en la red.
4. Modificación del Contenido: Alteración del contenido de los mensajes.
5. Modificación de Secuencias: Alteración del orden de los mensajes.
6. Modificación de Tiempo: Retraso o repetición de mensajes.
7. Repudio de la Fuente: Negación por parte del emisor de haber transmitido un mensaje.
8. Repudio del Destino: Negación por parte del receptor de haber recibido un mensaje.

Ámbito de los Ataques

• Confidencialidad: Afecta a los puntos 1 y 2.
• Autenticación de Mensajes: Afecta a los puntos 3 y 6.
• Firmas Digitales: Afecta al punto 7.
• Firmas Digitales y Protocolos: Afecta al punto 8.

Estructura Reconocida para la Integridad de Mensajes

Para asegurar la integridad de los mensajes, se puede añadir un código de detección de errores, como una secuencia de comprobación de trama (FCS) o una suma de comprobación, a cada mensaje antes de su cifrado. El proceso es el siguiente:

1. El emisor A prepara un mensaje de texto plano (M).
2. Proporciona M a una función F para generar un FCS.
3. El FCS se agrega a M, formando un bloque que se cifra.
4. En el destino, B descifra el bloque entrante.
5. B aplica la misma función F al mensaje descifrado para intentar reproducir el FCS.
6. Si el FCS calculado coincide con el FCS recibido, el mensaje se considera auténtico e íntegro.

Niveles de Funcionalidad en Mecanismos de Autenticación y Firma Digital

Cualquier mecanismo de autenticación de mensajes o de firma digital opera en dos niveles:

• Nivel Inferior (Funciones):
  • Función Hash: Asigna a un mensaje de cualquier longitud un valor de hash de longitud fija, que sirve como autenticador.
  • Encriptación de Mensajes: El texto cifrado del mensaje completo actúa como autenticador.
  • Código de Autenticación de Mensajes (MAC): Una función que combina el mensaje y una clave secreta para producir un valor de longitud fija que sirve como autenticador.

3.4.1 Código de Autenticación de Mensajes (MAC)

Una técnica de autenticación utiliza una clave secreta para generar un bloque de datos de tamaño fijo, conocido como MAC, que se añade al mensaje. Cuando el emisor A desea enviar un mensaje M a B, calcula el MAC mediante la fórmula: MAC = C(K, M), donde K es la clave secreta y C es la función MAC.