secure conections Flashcards
proceso TLS
ClientHello: El cliente inicia el proceso enviando versiones soportadas, suites de cifrado y otros parámetros.
ServerHello: El servidor selecciona la versión y cipher suite.
Server Certificate: El servidor envía su certificado digital para autenticar su identidad.
Key Exchange y generación de secretos: Utiliza ECDHE (Elliptic Curve Diffie-Hellman Ephemeral) o DHE (Diffie-Hellman Ephemeral) para generar claves compartidas de manera segura.
Finished Messages: Ambos confirman la negociación exitosa y verifican que no haya sido alterada.
Session Established: Desde aquí, los datos se transfieren de forma segura con symmetric encryption.
Diferencias en TLS 1.3
Optimized handshake: Menos rondas de comunicación.
Forward secrecy por defecto: Uso de claves efímeras para prevenir que claves pasadas sean comprometidas.
No deprecated algorithms: Se eliminan algoritmos obsoletos como RSA key exchange.
SSH Authentication Methods
Password-based authentication:
Se generan automáticamente public-private key pairs para cifrar la conexión mientras el usuario inicia sesión con una password.
Key-based authentication:
Los usuarios generan manualmente un public-private key pair, donde la private key permanece en el cliente y la public key se almacena en el servidor.
SSH Steps for Password-based Authentication
Steps for Password-based Authentication
Client Initiates Connection: El SSH client envía una solicitud de conexión al SSH server y especifica el username para iniciar sesión.
Server Sends Public Host Key: El servidor envía su public host key al cliente para la verificación de identidad.
Client Verifies Server Identity: El cliente verifica si la public host key es confiable (almacenada en el archivo known_hosts).
Establish Secure Encrypted Channel2: El cliente y el servidor intercambian una session key para cifrar la comunicación.
Server Requests Password Authentication.
Client Sends Encrypted Password: La password es cifrada usando la session key y enviada al servidor.
Server Verifies Password: El servidor descifra y valida la password contra las credenciales almacenadas.
Session Established: Se establece una secure, encrypted session, permitiendo al cliente ejecutar comandos o transferir archivos.
SSH Steps for Key-based Authentication
Steps for Key-based Authentication
Client Initiates Connection.
Server Sends Public Host Key: El cliente verifica la public host key del servidor.
Client Verifies Server Identity: El cliente asegura la identidad del servidor a través del archivo known_hosts.
Establish Secure Encrypted Channel: El cliente y el servidor intercambian session keys.
Client Proves Possession of the Private Key: El servidor desafía al cliente a probar la propiedad de la private key correspondiente.
Client Signs the Challenge with Private Key: El cliente firma el desafío, y el servidor lo verifica.
Server Verifies Signature: El servidor utiliza la public key para autenticar al cliente.
Session Established: Se establece una secure, encrypted session para comandos o transferencia de archivos.
Protocol Layers de tunneling:
Passenger protocol: Protocolo de datos original (e.g., IP o HTTP).
Encapsulation protocol: Protocolo que envuelve el paquete (e.g., IPsec, GRE, SSH).
Carrier protocol: Transporta los datos encapsulados (e.g., IP o Ethernet).
WEP
WEP (Wired Equivalent Privacy) – 1997
Features:
Encryption: Utilizaba el cifrado por flujo RC4.
Key Sizes: Soportaba claves de 40-bit y posteriormente de 104-bit.
Authentication: Usaba Pre-shared keys (PSKs).
Vulnerabilities:
Weak IV: El vector de inicialización de 24 bits provocaba reutilización frecuente y ataques estadísticos.
RC4 Weakness: IVs predecibles permitían descifrar claves en minutos.
Authentication Flaw: PSKs estáticos eran vulnerables a ataques de repetición.
Status: Obsoleto debido a sus vulnerabilidades.
WPA
WPA (Wi-Fi Protected Access) – 2003
Features:
Encryption: Introdujo TKIP (Temporal Key Integrity Protocol) con claves dinámicas.
Message Integrity: Usaba el algoritmo Michael para proteger contra alteraciones.
Backward Compatibility: Diseñado para hardware compatible con WEP.
Vulnerabilities:
TKIP Weaknesses: Susceptible a ataques como Beck-Tews.
Legacy Compatibility: Dependencia continuada en RC4.
Status: Solución temporal; reemplazado por WPA2.
WPA2
WPA2 (Wi-Fi Protected Access 2) – 2004
Features:
Encryption: Utilizaba AES-CCMP para un cifrado fuerte.
Authentication:
Personal Mode: Basado en Pre-Shared Key (PSK).
Enterprise Mode: Autenticación mediante 802.1X con certificados.
Integrity: Protegía contra alteraciones y ataques de repetición.
Vulnerabilities:
KRACK Attack: Explotaba el proceso de handshake; mitigado con parches.
Weak PSKs: Vulnerable a ataques de fuerza bruta.
Status: Ampliamente utilizado; seguro con una configuración adecuada.
WPA3
WPA3 (Wi-Fi Protected Access 3) – 2018
Features:
Stronger Encryption: 128 bits para redes personales, 192 bits para empresas.
SAE (Simultaneous Authentication of Equals): Previene ataques de diccionario offline; utiliza el handshake Dragonfly.
Open Network Security: Incluye Opportunistic Wireless Encryption (OWE).
IoT Security: Conexión simplificada para dispositivos IoT.
Vulnerabilities:
Dragonblood Attack (2019): Ataques de canal lateral y downgrade; resueltos con actualizaciones.
Status: Estándar actual para redes inalámbricas seguras.
