SSL – Secure Socket Layer

Anuncio
Universidad Interamericana de Puerto Rico
Recinto de Bayamón
Departamento de Informática
SSL – Secure Socket Layer
Profesor: Luis M. Cardona Hernández
Seguridad en las Redes
Definición

SSL (Secure Sockets Layer) – es un
protocolo de seguridad que protege las
mas importantes transacciones de
Internet.
Provee:
Encriptación
 Autenticación
 Integridad de la Data

Se lleva a Cabo usando certificados de
llave pública
Historia del SSL
El SSL fue desarrollado por Netscape
Communication Co. En 1994 para
asegurar las transacciones sobre el
WWW (Word Wide Web). Luego la IETF
(Internet Egineering Task Force)
comenzó su desarrollo como protocolo
estándar para el mismo fin.
Este es el protocolo estándar y maduro
compatible con muchos la mayoría de
los servidores y clientes para las
transacciones por Internet.
SSL y Windows
El SSL también proteger a nivel local
(Intranet) implementado con el Servicio
de Certificados del Servidor local. El SSL
puede protege:
 El
Active Directory local (LDAP port 636)
 Bases de Datos
 Mensajes Email (Web Mail POP3 port
995, Local SMTP Port 465)
 Páginas de Web corporativas internas
(HTTPS Port 443)
Forma o proceso del SSL
1.
2.
3.
4.
El Cliente pide llave pública al Server
(Request)
El Server envía su llave pública al Cliente
(Send Key)
El Cliente envía al Server una “Session Key”
encriptada con la llave pública
El Server descripta la “Session Key” recibida
del cliente usando su llave privada
Ahora el Cliente y es Servidor pueden usar la
“Session Key” para compartir la Data
encriptada y descriptada entre ellos.
Forma o proceso del SSL Cont…

El SSL usa dos llaves para la encripción:
 Llave
Pública – Usada para la
autenticación
 “Shared Key” - para la protección de la
Data
Esta forma de uso permite realizar el
proceso en forma mas corta con
solamente una llave pública
IPSEC Vs SSL
El IPSEC provee los mismos servicios del
SSL, pero su aplicación es diferente
IPSEC
SSL
1. Requiere autenticación de
ambos, clientes y servidores
1. Requiere que el clientes o el
servidor o ambos lleven a cabo
autenticación
2. Autenticación usando su propio
certificado de llave pública o el
“Shared Secret”
2. Requiere certificado de llave
pública basada en autenticación
3. Capacidad Tunneling
communication entre redes
3. Puede encriptar el tráfico sólo
entre dos (2) Host
4. Tecnología nueva
4. Tecnología madura
5. Usado para comunicación de
Intranet
5. Usado en Transacciones de
Internet
6. Transparente para las
aplicaciones
6. Aplicado directamente en la
aplicación
Windows 2003 y SSL Certificated

El servicio de Certificados de Windows
2003 puede emitir SSL Certificates sin
ningún costos adicional para la empresa.
Se utiliza para control y seguridad del
Intranet. (Solamente Internamente)

Con PKI (Public Key Infraestructure) los
SSL Certificates solo pueden ser emitidos
por el “root certificate authority” (root CA)
y con GPO se le envían a los Clients del
Intranet.
Windows 2003 y SSL Certificated

Es Importante que el Cliente acepte el
Certificado emitido (Warning Windows)
sino se desconectará la sesión al igual que
los certificados privados del Internet

Los SSL Certificate tienen un límite de
tiempo (El tiempo esta entre 1 a 5 años)

Para las transacciones realizadas por
Internet tiene que ser un CA privado tales
como: GeoTrust®, VeriSign®, GoDaddy®
otros.
SSL y Firewall

Cuando se utiliza SSL para proteger la
comunicación hay que configurar el
Firewall para que pueda pasar la
comunicación encriptada por el mismo
(para que no analice la Data). Dos formas
de lograr dicho propósito:


Configuración del Firewall como Proxi Server –
con esta configuración el cliente establece SSL
Session con el Firewall (Proxi) no con el server
de destino, entonces es el proxi quien lo
redirige al Server.
Cofiguración Firewall permita el tráfico usando
los puertos designados (Tabla puertos)
Tabla de puertos Firewall
Protocolo
Siglas
Puerto Std.
Puerto SSL
Hypertext Transfer
Protocol
HTTP
80
443
Simple Mail Transfer
Protocol
SMTP
25
465
Post Office
Protocol v3
POP3
110
995
Internet Message Access
Protocol
IMAP
143
993
Network News Transfer
Protocol
NNTP
119
563
Light Weight Directory
Access Protocol
LDAP
389
636
-
3268
3269
Global Catalog
Queries
Configuración del SSL para IIS

El uso mas común del SSL es:
 La
autenticación a Web Servers
 La encripción de la comunicación etre el
Web Browser y el Web Server.

Cuando se usa para proteger una
comunicación HTTP entre el Browser y
el Server se refiere entonces a HTTPS
(Hypertext Transfer Protocol Secure)
El IIS v6.0 de Windows 2003 y el IIS 7.0 Windows 2008 son
compatibles con ambos (Server & Clientes) SSL Certificates
Uso de SSL en las páginas Web

El SSL permite al usuario verificar la
indentidad del Web Site y encriptar el
tráfico entre el cliente y el Web Site. Ej.
Cuando nos suscribimos a alguna página
Web.
El Certificado SSL identifica el Web Site no el Web Server


Un Web Server puede guardar (host)
multiples Web Sites.
Un Web Site puede estar en multiples Web
Server (host) (Redundancia)
Web Server con 20 Web Sites = 20 certificados SSL
Un Web Site en 10 Web Server = 1 certificado SSL
Certificado de SSL


El Certificado de SSL usa el FQDN (Fully
Qualified Domain Name) para identificar
el Web Site. Ej. www.microsoft.com
Cuando un cliente accede un certificado
SSL del Web Site el cliente verifica que
el FQDN del Web Site está en el
“Subject Name” sea o esté también
listado en el Certificado SSL.
Asignar Certificado SSL


A través del CA se puede asignar el
Certificado SSL a un solo Web Site.
Se puede para proteger la
confidencialidad del los datos URL by
URL (Uniform Resource Locator) pero
requiere que parte del Web Site
contenga la encripción del SSL para la
transmisión de dicha parte pudiendo
tener partes no seguras con SSL.
Forma añadir Web Site IIS
Pasos para aplicar SSL a un Web Site local
con Servicio de Certificados de Windows





Crear el Web Site (página Web). Debe estar
contenido en un Folder y su página principal
como Index.html
Publicarla con el IIS del Servidor de la Red
Aplicarle el Certificado SSL al Web Site en el
IIS (Debe estar seguro que el Servicio de
certificados esta Instalado)
Deber añadir el Record (cname) al DNS
Manager para su entrada y borrar cache del
DNS
Abrir la página el en Browser y aceptar
Certificado en en Warning de Windows
Configuración DNS Web Site Local


DNS Manager
Foward Lookup Zones
 DOMAIN
New Alias (CNAME)

Luego hay que limpiar el Cache del DNS

C:\>ipconfig /flushdns
FIN
(D) Derechos Reservados por el Autor
Descargar