Upload File

unidad 3. autenticacion

23
INSTITUTO TECNOLOGICO SUPERIOR DE COATZACOALCOS Sistemas operativos de red Unidad III. Autenticación” Ingeniería en Sistemas Computacionales Coatzacoalcos, Veracruz.

Upload: daniyume

Post on 30-Jun-2015

857 views

Category:

Documents


3 download

Report

TRANSCRIPT

Page 1: Unidad 3. Autenticacion

INSTITUTO TECNOLOGICO SUPERIOR DE COATZACOALCOS

Sistemas operativos de red

“Unidad III. Autenticación”

Ingeniería en Sistemas Computacionales

Coatzacoalcos, Veracruz.

Page 2: Unidad 3. Autenticacion

INTRODUCCIÓN

La autenticación es un aspecto fundamental de la seguridad de un sistema. Confirmar la identidad de cualquier usuario que intenta iniciar la sesión en un dominio o tener acceso a los recursos de la red. En la familia de servidores Windows Server 2003, la autenticación permite el inicio de sesión único en todos los recursos de red. Con un inicio de sesión único, un usuario puede iniciar la sesión en el dominio una vez, mediante una contraseña única o una tarjeta inteligente, y autenticarse en cualquier equipo del dominio.

A lo largo de la historia el ser humano ha desarrollado unos sistemas de seguridad que le permiten comprobar en una comunicación la identidad del interlocutor, asegurarse de que sólo obtendrá la información el destinatario seleccionado , que además ésta no podrá ser modificada e incluso que ninguna de las dos partes podrá negar el hecho ni cuándo se produjo (ej. fechado de documentos).

En la mayor parte de los casos el sistema de seguridad se basa en la identificación física de la persona, información que se contrasta con el documento de identidad.

Actualmente cada vez mayor número de actividades se está trasladando al mundo electrónico a través de Internet.

Page 3: Unidad 3. Autenticacion

3.1 PROTOCOLOS DE AUTENTICACION

Un protocolo de autenticación, es un tipo criptográfico que tiene el propósito de autentificar entidades que desean comunicarse de forma segura. Los protocolos de autenticación se negocian inmediatamente después de determinar la calidad del vínculo y antes de negociar el nivel de red.

Algunos protocolos de autenticación son:

PAP (Protocolo de autenticación de contraseña): Es un protocolo de autenticación simple en el que el nombre de usuario y la contraseña se envían al servidor de acceso remoto como texto simple (sin cifrar). No se recomienda utilizar PAP, ya que las contraseñas pueden leerse fácilmente en los paquetes del Protocolo punto a punto intercambiados durante el proceso de autenticación. PAP suele utilizarse únicamente al conectar a servidores de acceso remoto antiguos basados en UNIX que no admiten métodos de autenticación más seguros.

CHAP (Protocolo de autenticación por desafío mutuo): Es un método de autenticación muy utilizado en el que se envía una representación de la contraseña del usuario, no la propia contraseña. Con CHAP, el servidor de acceso remoto envía un desafío al cliente de acceso remoto. El cliente de acceso remoto utiliza un algoritmo hash (también denominado función hash) para calcular un resultado hash de Message Digest-5 (MD5) basado en el desafío y un resultado hash calculado con la contraseña del usuario. El cliente de acceso remoto envía el resultado hash MD5 al servidor de acceso remoto.

El servidor de acceso remoto, que también tiene acceso al resultado hash de la contraseña del usuario, realiza el mismo cálculo con el algoritmo hash y compara el resultado con el que envió el cliente. Si los resultados coinciden, las credenciales del cliente de acceso remoto se consideran auténticas. El algoritmo hash proporciona cifrado unidireccional, lo que significa que es sencillo calcular el resultado hash para un bloque de datos, pero resulta matemáticamente imposible determinar el bloque de datos original a partir del resultado hash.

SPAP (Protocolo de autenticación de contraseña de shiva): Es un protocolo de autenticación simple de contraseña cifrada compatible con servidores de acceso remoto de Shiva. Con SPAP, el cliente de acceso remoto envía una contraseña cifrada al servidor de acceso remoto. SPAP utiliza un algoritmo de cifrado bidireccional. El servidor de acceso remoto

http://images.google.com.mx/imgres?imgurl=http://static.commentcamarche.net/es.kioskea.net/pictures/internet-images-point.gif&imgrefurl=http://es.kioskea.net/contents/internet/ppp.php3&usg=__aRqlwWYhvCuXFvHR-tOs4u0b_ts=&h=120&w=214&sz=4&hl=es&start=35&um=1&itbs=1&tbnid=xL4v9TTcbp-wCM:&tbnh=59&tbnw=106&prev=/images?q=Protocolo+de+autenticaci%C3%B3n+por+desaf%C3%ADo+mutuo&start=18&um=1&hl=es&sa=N&ndsp=18&tbs=isch:1
Page 4: Unidad 3. Autenticacion

descifra la contraseña y utiliza el formato sin cifrar para autenticar al cliente de acceso remoto.

MS-CHAP y MS-CHAP v2 Protocolo de autenticación por desafío mutuo de Microsoft: Microsoft creó MS-CHAP para autenticar estaciones de trabajo Windows remotas, integrando la funcionalidad a la que los usuarios de redes LAN están habituados con los algoritmos de hash utilizados en las redes Windows. utiliza un mecanismo de desafío y respuesta para autenticar conexiones sin enviar contraseñas.

o El autenticador (el servidor de acceso remoto o el servidor IAS) envía al cliente de acceso remoto un desafío formado por un identificador de sesión y una cadena de desafío arbitraria.

o El cliente de acceso remoto envía una respuesta que contiene el nombre de usuario y un cifrado no reversible de la cadena de desafío, el identificador de sesión y la contraseña.

o El autenticador comprueba la respuesta y, si es válida, se autentican las credenciales del usuario.

La familia Windows Server 2003 admite MS-CHAP v2, que proporciona autenticación mutua, la generación de claves de cifrado de datos iniciales más seguras para Cifrado punto a punto de Microsoft (MPPE) y distintas claves de cifrado para los datos enviados y los datos recibidos. Para reducir al mínimo el riesgo de que una contraseña se vea comprometida durante su cambio, no se admiten métodos más antiguos que el cambio de contraseña de MS-CHAP.

EAP (Protocolo de autenticación extensible): Es una extensión del Protocolo punto a punto (PPP) que admite métodos de autenticación arbitrarios que utilizan intercambios de credenciales e información de longitudes arbitrarias. EAP se ha desarrollado como respuesta a la creciente demanda de métodos de autenticación que utilizan dispositivos de seguridad, como las tarjetas inteligentes, tarjetas de identificación y calculadoras de cifrado.

Mediante EAP, se pueden admitir esquemas de autenticación adicionales, conocidos como tipos EAP. Entre estos esquemas se incluyen las tarjetas de identificación, contraseñas de un solo uso, autenticación por clave pública mediante tarjetas inteligentes y certificados. EAP, junto con los tipos de EAP seguros, es un componente tecnológico crítico para las conexiones de red privada virtual (VPN) seguras.

La familia Windows Server 2003 admite dos tipos de EAP:

Page 5: Unidad 3. Autenticacion

EAP-MD5 CHAP (equivalente al protocolo de autenticación CHAP) EAP-TLS (utilizado para autenticación basada en certificados de usuario).

EAP-TLS es un método de autenticación mutua, lo que significa que tanto el cliente como el servidor deben demostrar sus identidades uno a otro. Durante el proceso de autenticación, el cliente de acceso remoto envía su certificado de usuario y el servidor de acceso remoto envía su certificado de equipo. Si el certificado no se envía o no es válido, se termina la conexión.

Kerberos: Es un protocolo de autenticación de redes de ordenador que permite a dos computadores en una red insegura demostrar su identidad mutuamente de manera segura. Sus diseñadores se concentraron primeramente en un modelo de cliente-servidor, y brinda autenticación mutua: tanto cliente como servidor verifican la identidad uno del otro. Los mensajes de autenticación están protegidos para evitar eavesdropping y ataques de Replay.

Kerberos se basa en criptografía de clave simétrica y requiere un tercero de confianza. Además, existen extensiones del protocolo para poder utilizar criptografía de clave asimétrica.

3.1.1. CLAVES SECRETAS COMPARTIDAS

Este protocolo se basa en un principio encontrado en muchos protocolos de autenticación. Una parte envía un nuero aleatorio a la otra, quien a continuación lo transforma en una forma especial y después regresa al resultado. Tales protocolos se conocen como de desafio-respuesta.

Es posible especificar una clave secreta compartida previamente. Su uso es sencillo y no requiere que el cliente ejecute el protocolo Kerberos V5 ni que tenga un certificado de claves públicas. Ambas partes deben configurar IPSec manualmente para utilizar esta clave compartida previamente.

Importante: El uso de autenticación por claves compartidas previamente no se recomienda porque es un método de autenticación relativamente débil. La autenticación por claves compartidas previamente crea una clave maestra que es menos segura (y que podría ofrecer una forma de cifrado más débil) que los certificados o el protocolo Kerberos V5. Asimismo, las claves compartidas previamente se almacenan en texto no cifrado. La autenticación por claves compartidas previamente se utiliza por motivos de interoperabilidad y por compatibilidad con los estándares de IPSec. Se recomienda que sólo utilice claves previamente compartidas en pruebas y que, en su lugar, emplee certificados o Kerberos V5 en un entorno de producción.

Page 6: Unidad 3. Autenticacion

3.1.2 CENTRO DE DISTRIBUCION DE CLAVES

Centro de distribución de claves Kerberos En controladores de dominio, este servicio permite que los usuarios inicien sesión en la red utilizando el protocolo de autenticación Kerberos. Si se detiene este servicio en un controlador de dominio, los usuarios no podrán iniciar sesión en la red.

Los requisitos específicos en cuanto a seguridad de esta distribución dependerán de para qué y cómo van a ser utilizadas las claves. Así pues, será necesario garantizar la identidad de su origen, su integridad y, en el caso de claves secretas, su confidencialidad. Normalmente, es necesario que la distribución de claves se lleve a cabo sobre la misma red de comunicación donde se está transmitiendo la información a proteger. Esta distribución es automática y la transferencia suele iniciarse con la petición de clave por parte de una entidad a un Centro de Distribución de Claves (intercambio centralizado) o a la otra entidad involucrada en la comunicación (intercambio directo). La alternativa es una distribución manual (mediante el empleo de correos seguros, por ejemplo), independiente del canal de comunicación.

La distribución de claves se lleva siempre a cabo mediante protocolos, es decir, secuencias de pasos de comunicación (transferencia de mensajes) y pasos de computación. Muchas de las propiedades de estos protocolos dependen de la estructura de los mensajes intercambiados y no de los algoritmos criptográficos subyacentes. Por ello, las debilidades de estos protocolos provienen normalmente de errores cometidos en los niveles más altos del diseño.

Las claves caducadas deben ser destruidas con la mayor seguridad, de modo que no caigan en manos de un adversario, puesto que con ellas podría leer los mensajes antiguos. En el caso de haber sido escritas en papel, éste deberá ser debidamente destruido; si habían sido grabadas en una EEPROM, deberá sobrescribirse múltiples veces, y si se encontraba en EPROM, PROM o tarjeta de

Page 7: Unidad 3. Autenticacion

banda magnética, deberán ser hechas añicos (muy pequeñitos, a poder ser). En función del dispositivo empleado, deberá buscarse la forma de que se vuelvan irrecuperables.

3.1.3 CLAVES PÚBLICAS.

Es una combinación de hardware y software, políticas y procedimientos de seguridad que permiten la ejecución con garantías de operaciones criptográficas como el cifrado, la firma digital o el no repudio de transacciones electrónicas.

Las claves públicas, por definición se encuentran a disposición de todo el mundo y su distribución no presenta ningún riesgo ya que no revela nada sobre la clave privada.(Las claves privadas no se transmiten nunca, se deben conservar en secreto. La clave simétrica de sesión se transmite una sola vez cifrada.) Sin embargo, es importante garantizar la autenticidad y propiedad de la clave pública por su legítimo propietario mediante la certificación de claves públicas.

La certificación es esencial para las comunicaciones seguras, ya que de una buena estructura de certificación depende la validez de las claves empleadas para autenticar y cifrar las transacciones.

Page 8: Unidad 3. Autenticacion

3.1.4 EJEMPLOS DE PROTOCOLOS DE AUTENTICACION

DIFFIE-HELLMAN

El protocolo Diffie-Hellman (debido a Whitfield Diffie y Martin Hellman) permite el

intercambio secreto de claves entre dos partes que no han tenido contacto previo,

utilizando un canal inseguro, y de manera anonima (no autenticada).

Se emplea generalmente como medio para acordar claves simétricas que serán

empleadas para el cifrado de una sesión.

Siendo no autenticado, sin embargo provee las bases para varios protocolos

autenticados.

Su seguridad radica en la extrema dificultad (conjeturada, no demostrada) de

calcular logaritmos discretos en un campo finito.

Page 9: Unidad 3. Autenticacion

KERBEOS

Kerberos es un protocolo de autenticación de redes de ordenador que permite a

dos computadores en una red insegura demostrar su identidad mutuamente de

manera segura. Sus diseñadores se concentraron primeramente en un modelo de

cliente-servidor, y brinda autenticación mutua: tanto cliente como servidor verifican

la identidad uno del otro. Los mensajes de autenticación están protegidos para

evitar eavesdropping (escuchar secretamente) y ataques de Replay.

Kerberos se basa en criptografía de clave simétrica y requiere un tercero de

confianza. Además, existen extensiones del protocolo para poder utilizar

criptografía de clave asimétrica.

En resumen el funcionamiento es el siguiente: el cliente se autentica a sí mismo contra el AS, así demuestra al TGS que está autorizado para recibir un ticket de servicio (y lo recibe) y ya puede demostrar al SS que ha sido aprobado para hacer uso del servicio kerberizado.

Page 10: Unidad 3. Autenticacion

3.2 FIRMAS DIGITALES

Una firma digital es una reducida cantidad de datos que fue creada utilizando para ello una clave privada, y donde puede ser utilizada una clave pública para verificar que dicha firma fue realmente generada utilizando la clave privada correspondiente. El algoritmo a utilizar para generar la firma debe funcionar de manera tal que sin conocer la clave privada sea posible verificar su validez.

Las firmas digitales son un mecanismo para verificar que el mensaje recibido viene realmente de quien dice ser el remitente (asumiendo que el remitente conoce la clave privada que se corresponde con la clave pública utilizada para la verificación). A esto se lo llama autentificación (de origen de datos). Algunas también podrán utilizar para asignar un sello de tiempo (timestamp) a documentos, una entidad confiable firma el documento declarando su existencia en ese momento (día, hora, minuto, segundo) señalado.

Otro de los usos de las firmas digitales puede ser certificar que una clave pública pertenece a una entidad en particular. Esto se hace firmando con una combinación de la clave pública y la información sobre su propietario, a la estructura de datos resultante se la llama frecuentemente Certificado de Clave-Pública (o simplemente Certificado). Puede trazarse una analogía entre los certificados y los pasaportes que garantizan la identidad de sus portadores.

Page 11: Unidad 3. Autenticacion

FUNCION HASH

 Una función hash es una operación aplicada al documento enviado que permite obtener un resumen de los datos originales.

Este resumen es de tamaño fijo, independientemente del volumen de los datos originales.

Un cambio en los datos de origen genera una función hash distinta y una modificación en el hash da lugar a un documento distinto del original.

Las funciones hash, las más usadas son:

FUNCION HASH DESCRIPCIONMD5   Procesa mensajes de una longitud arbitraria

en bloques de 512 bits generando un compendio de 128 bits.

SHA-1   Toma como entrada un mensaje de longitud máxima 264 bits (más de dos mil millones de Gigabytes) y produce como salida un resumen de 160 bits.

RIPEMD-160 Los hashes de 160 bits RIPEMD (también llamados resúmenes RIPE del mensaje) se representan típicamente como números en hexadecimal 40 dígitos. El resultado de usar RIPEMD-160 con una cadena vacía

Los textos enviados electrónicamente pueden deformarse, bien por la intervención de terceras personas, o bien por errores en la transmisión.

Las funciones HASH sirven para garantizar la integridad de los textos

Page 12: Unidad 3. Autenticacion

Objetivos del uso de la firma electrónica

Proporcionar los elementos de seguridad a la gestión automatizada de los procesos y a los documentos electrónicos que se desprendan de estos.

Impulsar la generación de documentos de archivo electrónicos con las características de: confiabilidad, integridad y conformidad.

Iniciar la transición hacia un esquema donde todos los documentos de archivo se generen y conserven en medios electrónicos, en adición al resguardo del documento original en papel que establece la normatividad aplicable.

Establecer y promulgar políticas, procedimientos y prácticas para la gestión de documentos de archivo electrónicos, buscando asegurar las necesidades de la Institución de soportar sus operaciones y de la información acerca del cumplimiento de sus obligaciones o atribuciones.

Ventajas

Proporciona el máximo grado de seguridad y confidencialidad en Internet. 

Identifica a las partes que se conectan telemáticamente. 

Da acceso a una inmejorable oferta de servicios en el ámbito de la gestión de derechos de autor.

Agiliza la gestión de procesos.

Mejora y asegura la gestión documental.

Se facilita la autentificación.

Facilita la consulta.

Crea un ambiente de gestión seguro.

Page 13: Unidad 3. Autenticacion

3.2.1 FIRMAS DIGITALES DE CLAVE SIMETRICA

Cuando se emplea la misma clave en las operaciones de cifrado y descifrado, se dice que el criptosistema es simétrico o de clave secreta.

Son mucho más rápidos que los de clave pública

Resultan apropiados para el cifrado de grandes volúmenes de datos.

Son empleados:

Para cifrar el cuerpo de los mensajes en el correo electrónico

Los datos intercambiados en las comunicaciones digitales.

Para ello se emplean algoritmos como IDEA, RC5, DES, TRIPLE DES, etc.

Proceso de la firma

El usuario prepara el mensaje a enviar.

El usuario utiliza una función hash segura para producir un resumen del mensaje.

El remitente encripta el resumen con su clave privada. La clave privada es aplicada al texto del resumen usando un algoritmo matemático. La firma digital consiste en la encriptación del resumen.

El remitente une su firma digital a los datos.

Page 14: Unidad 3. Autenticacion

El remitente envía electrónicamente la firma digital y el mensaje original al destinatario. El mensaje puede estar encriptado, pero esto es independiente del proceso de firma.

El destinatario usa la clave pública del remitente para verificar la firma digital, es decir para desencriptar el resumen adosado al mensaje.

El destinatario realiza un resumen del mensaje utilizando la misma función resumen segura.

El destinatario compara los dos resúmenes. Si los dos son exactamente iguales el destinatario sabe que los datos no han sido alterados desde que fueron firmados.

Page 15: Unidad 3. Autenticacion

3.2.2 FIRMAS DIGITALES DE CLAVE ASIMETRICA

El cifrado asimétrico es el método criptográfico que usa un par de claves para el envío de mensajes. Una de estas claves es pública y se puede entregar a cualquier persona, la otra clave es privada y el propietario debe guardarla de modo que nadie tenga acceso a ella. Los métodos criptográficos garantizan que ese par de claves sólo se puede generar una vez, de modo que se puede asumir que no es posible que dos personas hayan obtenido casualmente el mismo par de claves.

Si el remitente usa la clave pública del destinatario para cifrar el mensaje, una vez cifrado, sólo la clave privada del destinatario podrá descifrar este mensaje, ya que es el único que la posee. Por lo tanto se logra la confidencialidad del envío del mensaje, nadie salvo el destinatario puede descifrarlo, ni siquiera la misma persona que generó el mensaje. d

Si el propietario del par de claves utiliza su clave privada para cifrar el mensaje, cualquiera que posea su clave pública podrá descifrarlo. En este caso se consigue tanto la identificación como la autenticación del remitente, ya que se sabe que sólo pudo haber sido él quien utilizó su clave privada (salvo alguien se la hubiese podido robar). Esta idea es el fundamento de la firma electrónica, de la cual hablamos más abajo. s

Los sistemas de cifrado de clave pública o sistemas de cifrado asimétricos se crearon con el fin de evitar el problema del intercambio de claves que posee el sistema de cifrado simétrico. Con las claves públicas no es necesario que el remitente y el destinatario se pongan de acuerdo en la clave a emplear. Todo lo que se requiere es que, antes de iniciar la comunicación secreta, el remitente consiga una copia de la clave pública del destinatario. Es más, esa misma clave pública puede ser usada por cualquiera que desee comunicarse con su propietario.

Cabe mencionar que aunque una persona lograra obtener la clave pública, no podría descifrar el mensaje encriptado con esta misma clave, sólo podría encriptar mensajes que podrían ser leídos por el propietario de la clave privada.

Page 16: Unidad 3. Autenticacion

Proceso de la firma

Ana y Bernardo tienen sus pares de claves respectivas.

Ana escribe unmensaje a Bernardo.Es necesario queBernardo puedaverificar querealmente es Anaquien ha enviado elmensaje. Por lo tantoAna debe enviarlo firmado:

1. Resume el mensaje mediante una función hash.2. Cifra el resultado de la función hash con su clave privada. de esta forma obtiene su firma digital.3. Envía a Bernardo el mensaje original junto con la firma.

Bernardo recibe elmensaje junto a lafirma digital. Deberácomprobar la validezde ésta para dar porbueno el mensaje yreconocer al autordel mismo (integridady autenticación).

4. Descifra el resumen del mensaje mediante la clave pública de Ana. 5. Aplica al mensaje la función hash para obtener el resumen.6. Compara el resumen recibido con el obtenido a partir de la función hash. Si son iguales,Bernardo puede estar seguro de que quien ha enviado el mensaje es Ana y que éste no ha sido modificado.


スペイン語教室ADELANTE · Unidad 2 Unidad 3 Unidad 4 Tarea 1 Unidad 5 Unidad 6 Unidad 7 Unidad 8 Tarea 2 Unidad 9 Unidad 10 Unidad 11 Unidad 12 Tarea 3 Textos grabados Glosario

Guía de doble autenticación - CODAJIC · guia-autenticacion-argcibersegura Created Date: 10/10/2013 10:18:58 AM

Autenticacion de Usuarios

Autenticacion Openldap Modulos Pam_ldap Centos 6.2

UNIDAD 3: AMPLIFICADORES OPERACIONALES UNIDAD 3: AMPLIFICADORES OPERACIONALES UNIDAD 3: AMPLIFICADORES OPERACIONALES UNIVERSIDAD ALONSO DE OJEDA FACULTAD

Curso autenticacion robusta

ProyectoF3-Autenticacion Proyecto Foro en PHP mediante DNI Electrónico

Unidad # 3

Sobre La Robustez de La Autenticacion

Unidad 3 unidad 2

Practica_cliente SSL Autenticacion

Autenticacion unica

UNIDAD 3

Metodo de autenticacion por clave publica

13926596 Servidor Proxy Con Autenticacion de Usuarios de Servicio de Directorio

UNIDAD 3: AMPLIFICADORES OPERACIONALES UNIDAD 3: AMPLIFICADORES OPERACIONALES UNIDAD 3: CIRCUITOS ELECTRÓNICOS CON AMPLIFICADORES OPERACIONALES. Convertidores

Autenticacion de Conexión a SQL

(tesis)Sistema de autenticacion digital para el servicio

Implementacion Servidor Samba Autenticacion Ldap[1]

UNIDAD 3. Nutrición microbianadepa.fquim.unam.mx/amyd/archivero/9MetabolismoMicrobiano... · 2014. 3. 13. · UNIDAD 3. Nutrición microbiana METABOLISMO MICROBIANO ! ... unidad

Unidad 3:

Ute II unidad integradora unidad 3

Identidad Digital (Modul 2 Autenticacion y Autorizacion en Aplicaciones Multiusuario)

Implementacion Servidor Samba Autenticacion Ldap

Estado Del Arte Autenticacion y Autorizacion_v2.3

Configuracion de Correo Con Autenticacion Ldap

Autenticacion windows+linux

Unidad Tematica II Unidad 3 Cruzamientos

Sistema de autenticacion biométrica

Mautner Autenticacion

5 Autenticacion

UNIDAD 3: AMPLIFICADORES OPERACIONALES UNIDAD 3: AMPLIFICADORES OPERACIONALES UNIDAD 3: El Amplificador Operacional (OPAMP). Aplicaciones: Amplificadores,

UNIDAD 3 UNIDAD 3 EL MERCADO CAMBIARIO EL MERCADO CAMBIARIO

Sistemas de autenticacion y firma en tráfico (DGT) - II Encuentro nacional sobre firma y administración electrónica

Tema04 Autenticacion de Usuario 140603190836 Phpapp01