BIV TEMA 8 HTTP Y SSL Flashcards
Concepto IXP
Internet exchange point
Punto de acceso neutro, son puntos de de intercambio(torres de switchs) entre tier 3 y tier 2, para
-ahorrar costes
-gran rendimiento
-mayor latencia
-mayor ancho de banda
IXP en España
Catnix (Barcelona)
Espanix (Madrid)
Galnix (Santiago compostela)
Euskonix (san Sebastián)
Nap de la Américas (Madrid)
Concepto AS (sistema autónomo)
Cada compañía tiene un número de sistema autónomo (asxx)
Este n° lo gestiona la IANA. Que delega en las RIR y a su vez en las LIR
Cabeceras HTTP
Concepto URI
Identificador de recurso uniforme
URI=URL+URN
URL: localizador (FTP:,http:,mailto:
URN: Identificador de recursos
Métodos del protocolo HTTP
Seguros, idempotentes y no idempotentes)
Métodos seguros http
Que hacen
Métodos seguros son aquellos que son solo de lectura
-Get: dame ese recurso. Solo lleva URL y cabeceras. No lleva body
-Head: como get pero solo para cabeceras de un recurso(lo que ocupa, fecha última modificación,..)
-Options: solo devuelve cabeceras con los permisos o métodos que soporta toda esa URL. Tb preflight
-Trace: trazabilidad. Depuraciones dentro del servidor web
Métodos idempotentes Http
(Menos los seguros)
Que hacen
Métodos idempotentes. No cambia el estado, siempre da el mismo resultado aunque lo hagas 100 veces
-Delete: borra cierto recurso
-Put: crea o reemplaza un recurso. Si no existe lo crea.se usa más para actualizar un recurso. Siempre va con el id del recurso(al contrario que Post)
Métodos no idempotentes
-connect: túnel https a través de un proxy
-post: en información (datos) a la URL. se usa más para la creación de recursos. Cada vez que lo crea una nueva primary key
- Patch: modificaciones parciales
Código respuesta HTTP
100 y 200 (200,201,202,204)
100 informativos
200 códigos de éxito
-200 :OK
-201: Created.(recurso nuevo, ej:put)
-202: Accepted.(recibido pero no procesado)
-204: no content. (La operación ha ido bien pero no dice nada, ej:delete)
Código HTTP respuestas
300 (301,302,304)
Redirecciones
301 moved permanently : movido permanentemente
302 Found : se ha movido temporalmente
304 Not modified: no se ha modificado desde la última vez
Códigos HTTP respuestas
400(400,401,403,404,405 y 413)
Problemas con la solicitud del cliente
-400 bad request (sintaxis invalida)
-401 unauthorized (no autorizado. Requiere autenticación al cliente)
-403 Forbidden (prohibido) Si las credenciales son erróneas
-404 Not Found ( recurso no encontrado)
-405 Method no allowed (método no permitido )
-413 payload too large (respuesta muy grande)
Códigos HTTP respuestas
500. (500,502,503)
Error o problema al procesar la solicitud en el servidor
-500 internal error (genérico)
-502 bad gateway
-503 service unavailable
Http mecanismo seguridad
Solo nombrarlos
-politica seguridad CORS
-CSP( content security policy)
-HSTS (http strict transporte security)
-cabecera autorización: basic …. (Sale el pop-up) envía la cadena user:Pass codificado en base64
HTTP
Política seguridad cors
Intercambio de orígenes cruzados
Lo hace el navegador
Desde el navegador te conectas a un dominio A y esa página hace una petición a un dominio B (coger fuentes, imágenes,..) por defecto está prohibido.
El dominio B es el que permite hacer en función de dominio original A
Nota CDN ponen un asterisco para permitir a todos los dominios, casi como lo tener política cors
HTTP mecanismo seguridad
HSTS
Http strict transporte security
Http con seguridad de transporte estricta
Cabecera llamada strict transporte security (la manda el servidor) para forzar al cliente web si accede por http que entre por https. Lo hace por un periodo de tiempo
HTTP mecanismo seguridad
CSP
Content security policy (política de seguridad de contenido)
Restringe por dominios,
Define desde que fuentes se pueden descargar ciertos recursos
En la Cabecera content security policy lo defines
En una web agregar la cabecera y controlar los recursos que el user agent puede cargar para esta pagina
Protocolo HTTP 1
Sin estado
Orientado a carácter
TLS opcional
Sobre Tcp/ip
Formato ->verbo/URL http 1.1
[Lista cabeceras]
[Espacio en blanco]
[Body]
Protocolo HTTP 2
-Binario
-Frame (marcos) unidad mínima
-Stream(flujo) secuencia de frames
-Multiplexacion (optimiza ancho de banda)
-no requiere tls (opcional)
-sobre tcp/IP
-Server push
Una única conexión tcp ( y se queda conectado)
-priorizacion flujos
Protocolo http3
TLS obligatoria
Va sobre quic (Quick UDP internet connection) quic va sobre udp
Esquema http versiones
Flujo handshake ssl
Capas ssl
Vulnerabilidades SSL
-Poodle SSL
-Heartbleed bus
-Crime
-Beast
-breach
Algoritmos simetricos
Buscan la Confidencialidad
una sola clave.( Problema distribución)
Muy eficientes
Cifrar cosas grandes
3DES, RC5, IDEA, RC6, AES, CHACHA20,
BLOWFISH
Algoritmos asimetricos
Clave publica y privada
Lentos
Sin problemas distribución clave
RSA, DSA, DH(Diffi-hellman), EC(Curvas elípticas), elgammal
-confidencialidad: si cifras con clave publica receptor
-Autenticidad e integridad: si cifras con clave privada emisor
Sistemas hibridos
Primero distribuye la clave simetrica asimétricamente y luego ya se comunica de forma simetrica
SSL, SSH , PGP
Función MIC
Message integrity Code
Generan un residuo de tamaño fijo a partir de un mensaje /documento
MD5
SHA1
SHA2 (224,256,384,512 bits)
SHA3 (224,256,384,512 bits)
Integridad
Funcion MAC
Message authentication Code
Generan un residuo de tamaño fijo a partir de un mensaje/documento + clave
PMAC
UMAC-VMAC
Poly1305
HMAC (basada en hash) busca garantizar la I y A (emisor y receptor conocen la clave)
Firma digital
Proceso y verificación
Primero hace un hash del mensaje/documento y luego lo cifra
Buscan la Integridad y autenticidad
Certificado x509v3
Estructura
Certificado digital x509v3
Formatos ficheros
p12/ der/ber /p7b /pem
-.P12(estándar pkcs#12): incluye clave privada
-.der/.ber: formato binario
-.p7B(estandar pkcs#7): parte pública + cadena de CA. Certificado de una CA que tiene otra ca por encima. Muestra una cadena de autoridades
-PEM : sirve para transportar muchas cosas. Serializado en base64
.cer es un formato pem, para exportar la parte pública del certificado
Nota estándar pkcs11: criptoki,API módulos hw, en el dnie
Validación estado certificado
Comprueba si es válido
2 métodos
-protocolo OCSP(protocolo binario)( lo usa @firma) es online. Envía el s/N a la URL de la CA y te dice si está ok.
-CRL Lista de revocación. Offline. Fichero, cada ca pública este fichero con la lista del los s/N de los certificados revocados
