seguridad en redes - sitio en...
TRANSCRIPT
![Page 1: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/Seguridad_en_Redes.pdf · UBA - Maestría en Seguridad Informática Conclusiones •Mediante esta](https://reader034.vdocuments.co/reader034/viewer/2022042412/5f2c6b0f2cbe6f71ec7669a4/html5/thumbnails/1.jpg)
Ing. Edy Javier Milla
Ing. Hugo Pagola
Ing. Alberto Dams
Seguridad en Redes
Laboratorio de confianza entre
organizaciones utilizando certificación
cruzada
![Page 2: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/Seguridad_en_Redes.pdf · UBA - Maestría en Seguridad Informática Conclusiones •Mediante esta](https://reader034.vdocuments.co/reader034/viewer/2022042412/5f2c6b0f2cbe6f71ec7669a4/html5/thumbnails/2.jpg)
UBA - Maestría en Seguridad Informática
Objetivos
Disponer de un laboratorio que permita a los alumnos de
nuestro posgrado:
• Ejercitar lo aprendido en las clases teóricas y reforzar
los conceptos de PKI.
• Orientar en la construcción de una infraestructura PKI.
• Simular ambientes corporativos utilizando diversos S.O.
• Incorporar nuevas destrezas y competencias.
![Page 3: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/Seguridad_en_Redes.pdf · UBA - Maestría en Seguridad Informática Conclusiones •Mediante esta](https://reader034.vdocuments.co/reader034/viewer/2022042412/5f2c6b0f2cbe6f71ec7669a4/html5/thumbnails/3.jpg)
UBA - Maestría en Seguridad Informática
Pautas didácticas
• Presentar un caso real
• Desarrollar en horas de clase para resolver las
inquietudes y consolidar el conocimiento.
• Se utilizaron máquinas virtuales para disminuir
tiempos de preparación del entorno.
• Plantear situaciones alternativas con desafíos a
resolver.
![Page 4: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/Seguridad_en_Redes.pdf · UBA - Maestría en Seguridad Informática Conclusiones •Mediante esta](https://reader034.vdocuments.co/reader034/viewer/2022042412/5f2c6b0f2cbe6f71ec7669a4/html5/thumbnails/4.jpg)
UBA - Maestría en Seguridad Informática
Escenario: Interfaz entre organizaciones
Donde residen los usuarios.
Control de acceso y autenticación
Modelo de Confianza
FI FCE
![Page 5: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/Seguridad_en_Redes.pdf · UBA - Maestría en Seguridad Informática Conclusiones •Mediante esta](https://reader034.vdocuments.co/reader034/viewer/2022042412/5f2c6b0f2cbe6f71ec7669a4/html5/thumbnails/5.jpg)
UBA - Maestría en Seguridad Informática
• Autoridad Certificante Raíz
• Autoridades Certificantes Subordinadas
• Administración de certificados eficiente delegado en
Autoridades Certificantes subordinadas
• Establecimiento de la cadena de certificación
Modelos de confianza: Jerárquico
UBARaíz CA
FI SubCA FCE SubCA
![Page 6: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/Seguridad_en_Redes.pdf · UBA - Maestría en Seguridad Informática Conclusiones •Mediante esta](https://reader034.vdocuments.co/reader034/viewer/2022042412/5f2c6b0f2cbe6f71ec7669a4/html5/thumbnails/6.jpg)
UBA - Maestría en Seguridad Informática
• Confianza entre Autoridades Certificantes
• La CA raíz o subordinada de una jerarquía (FI) firma el
certificado raíz o subordinado de la otra (FCE)
• Se establecen criterios de validación
FIRoot CA
FCE Root CA
FISubCA
FCESubCA
Certificado Cruzado
Modelo Jerárquico
Modelo Jerárquico
Modelos de confianza: Certificación Cruzada
![Page 7: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/Seguridad_en_Redes.pdf · UBA - Maestría en Seguridad Informática Conclusiones •Mediante esta](https://reader034.vdocuments.co/reader034/viewer/2022042412/5f2c6b0f2cbe6f71ec7669a4/html5/thumbnails/7.jpg)
UBA - Maestría en Seguridad Informática
Experiencia de laboratorio
• Caso de aplicación entre FI y FCE
• Cada facultad tiene su propia jerarquía PKI
• La FI va a tener acceso a una aplicación web de la
FCE.
• Equipos de la FI deben confiar en los certificados
emitidos por la FCE (bajo ciertos criterios)
• La FI efectúa el proceso de Certificación
Cruzada. • La FI solicita a la FCE el certificado de la SubCA
• La SubCA de FI firma el certificado de la SubCA FCE
![Page 8: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/Seguridad_en_Redes.pdf · UBA - Maestría en Seguridad Informática Conclusiones •Mediante esta](https://reader034.vdocuments.co/reader034/viewer/2022042412/5f2c6b0f2cbe6f71ec7669a4/html5/thumbnails/8.jpg)
UBA - Maestría en Seguridad Informática
Criterios de Validación
Criterios en base al Subject del Certificado
• RDN (Relative Distinguished Name): o=uba,
dc=uba,dc=ar
• DNS/SAN (Domain Name Service): websrv.uba.ar
• URI (Universal Resource Identifiers):
https://websrv.uba.ar
• E-mail y UPN (User Principal Name): @uba.ar
• IP address: 172.16.1.100
(Subject Alternative Name)
![Page 9: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/Seguridad_en_Redes.pdf · UBA - Maestría en Seguridad Informática Conclusiones •Mediante esta](https://reader034.vdocuments.co/reader034/viewer/2022042412/5f2c6b0f2cbe6f71ec7669a4/html5/thumbnails/9.jpg)
UBA - Maestría en Seguridad Informática
Proceso de certificación cruzada
Certificado FCE SubCA
CSRFCE + Policy
FI SubCA Cross
Certification Agent
Policy FIhhhhhh
hh
hhhhhh
hh
hhhhhh
hh
hhhhhh
hh
Llave PrivadaSubCA FI
Certificado CruzadoFI + FCE
![Page 10: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/Seguridad_en_Redes.pdf · UBA - Maestría en Seguridad Informática Conclusiones •Mediante esta](https://reader034.vdocuments.co/reader034/viewer/2022042412/5f2c6b0f2cbe6f71ec7669a4/html5/thumbnails/10.jpg)
UBA - Maestría en Seguridad Informática
Modelo Certificación Cruzada
FI FCE
![Page 11: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/Seguridad_en_Redes.pdf · UBA - Maestría en Seguridad Informática Conclusiones •Mediante esta](https://reader034.vdocuments.co/reader034/viewer/2022042412/5f2c6b0f2cbe6f71ec7669a4/html5/thumbnails/11.jpg)
UBA - Maestría en Seguridad Informática
Acceso a un Web con
La FCE SubCA pasa a
formar parte de la cadena de
la PKI de FI
El Name Constraint restringe la
confianza al servidor
websrv.fce.uba.ar.
(Configurado en la Política de
Certificación cruzada)
![Page 12: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/Seguridad_en_Redes.pdf · UBA - Maestría en Seguridad Informática Conclusiones •Mediante esta](https://reader034.vdocuments.co/reader034/viewer/2022042412/5f2c6b0f2cbe6f71ec7669a4/html5/thumbnails/12.jpg)
UBA - Maestría en Seguridad Informática
Modelo Certificación Cruzada
FI FCE
El mismo certificado se ve con una
Jerarquia diferente en las maquinas
de FI y de FCE
![Page 13: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/Seguridad_en_Redes.pdf · UBA - Maestría en Seguridad Informática Conclusiones •Mediante esta](https://reader034.vdocuments.co/reader034/viewer/2022042412/5f2c6b0f2cbe6f71ec7669a4/html5/thumbnails/13.jpg)
UBA - Maestría en Seguridad Informática
Si un servidor diferente usa el
certificado.
El mismo no validara la politica.
(Extended Error Information)
![Page 14: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/Seguridad_en_Redes.pdf · UBA - Maestría en Seguridad Informática Conclusiones •Mediante esta](https://reader034.vdocuments.co/reader034/viewer/2022042412/5f2c6b0f2cbe6f71ec7669a4/html5/thumbnails/14.jpg)
UBA - Maestría en Seguridad Informática
Detalle de las practicas
Practicas de CA
• CA Raíz y Subordinada Win2k8 (fi)
• CA Raíz y Subordinada Lnx (fce)
• Certificación Cruzada
Otras Practicas Relacionadas
• Federación SAML
• Análisis de seguridad de SSL
• ipsec linux2linux & ipsec cisco2linux (GNS3)
![Page 15: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/Seguridad_en_Redes.pdf · UBA - Maestría en Seguridad Informática Conclusiones •Mediante esta](https://reader034.vdocuments.co/reader034/viewer/2022042412/5f2c6b0f2cbe6f71ec7669a4/html5/thumbnails/15.jpg)
UBA - Maestría en Seguridad Informática
Software Utilizado
• Ambientes operativos virtualizados
• VMWare Workstation/Player v.8 v.9
• Windows Server 2008 Enterprise: Microsoft CA (FI)
• GNU Linux (FCE)
• Debian CryptoCD
• Ubuntu: Versión 12.10 64 bits
• OpenSSL, EJBCA.
![Page 16: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/Seguridad_en_Redes.pdf · UBA - Maestría en Seguridad Informática Conclusiones •Mediante esta](https://reader034.vdocuments.co/reader034/viewer/2022042412/5f2c6b0f2cbe6f71ec7669a4/html5/thumbnails/16.jpg)
UBA - Maestría en Seguridad Informática
Resultados
• Hemos tenido una muy buena recepción del material
por los alumnos quienes han sugerido numerosos
cambios y mejoras.
• El material permitió que los estudiantes desarrollen
las configuraciones de los laboratorios en forma
rápida y con buenos resultados.
• Las encuestas aplicadas permitieron medir el nivel
de aceptación de los laboratorios e identificar los
aspectos de mejora para las siguientes clases.
![Page 17: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/Seguridad_en_Redes.pdf · UBA - Maestría en Seguridad Informática Conclusiones •Mediante esta](https://reader034.vdocuments.co/reader034/viewer/2022042412/5f2c6b0f2cbe6f71ec7669a4/html5/thumbnails/17.jpg)
UBA - Maestría en Seguridad Informática
Conclusiones
• Mediante esta práctica los estudiantes adquieren
destrezas y competencias que hoy día son
requeridas por las organizaciones.
• Este laboratorio nos ha permitido trabajar el concepto
de Confianza establecida entre organizaciones
utilizando ambientes heterogéneos..
• La primer experiencia piloto fue el año pasado. Este
año fue utilizado por todos los estudiantes
exitosamente.
![Page 18: Seguridad en Redes - Sitio en Mantenimientocibsi.utp.ac.pa/documentos/31-Octubre/Seguridad_en_Redes.pdf · UBA - Maestría en Seguridad Informática Conclusiones •Mediante esta](https://reader034.vdocuments.co/reader034/viewer/2022042412/5f2c6b0f2cbe6f71ec7669a4/html5/thumbnails/18.jpg)
Gracias por su atención.