miércoles, 6 de junio de 2007

SEGUNDA UNIDAD

2.1 TECNOLOGIA DE ENCRIPTACION
2.2 VALIDACION DE FIRMAS DIGITALES
2.3 FIREWALLS Y REDES PRIVADAS VIRTUALES (VPN)
2.4 PROTOCOLOS DE SEGURIDAD

2.1 TECNOLOGÍA DE ENCRIPTACIÓN AVANZADA

WinZip 9.0 y posterior, soporta la encriptación AES de 128 y 256 bits, la cual provee seguridad criptográfica más amplia que el método de encriptación tradicional Zip 2.0 usado en versiones anteriores de WinZip. La encriptación avanzada de WinZip (certificada FIPS-197), utiliza el algoritmo criptográfico Rijndael, el cual en el año 2001, fue especificado por el "National Institute of Standards and Technology (NIST)" en "Federal Information Processing Standards (FIPS) Publication 197" como "Advanced Encryption Standard" (AES).

Después de tres años de competencia, el AES fue anunciado por la "NIST" como una técnica de encriptación aprobada para ser usada por el Gobierno de los Estados Unidos de América, empresas privadas y particulares. Al ser implementado como un componente clave del protocolo de seguridad en general, el AES permite un alto grado de seguridad criptográfica además de ser eficiente y rápido.

La encriptación AES de WinZip es tan fácil de usar como la tradicional encriptación Zip 2.0: Todo lo que usted debe hacer es seleccionar el nivel de encriptación y la contraseña.

I Adicionalmente a la nueva tecnología de encriptación AES, WinZip provee un número de mejoras en la utilidad para facilitarle el uso de la encriptación. Lo más relevante es que ahora usted puede encriptar archivos que se encuentren ya comprimidos; anteriormente sólo se podían encriptar archivos mientras se iban agregando a un archivo Zip.

Nota: Los destinatarios a quienes envíe archivos comprimidos y encriptados AES, tienen que tener una herramienta de compresión compatible para poder decodificar los archivos. Hemos publicado (en inglés) las especificaciones para crear archivos encriptados AES compatibles con WinZip, esperamos que otros proveedores de herramientas de compresión soporten este formato.

WinZip puede leer los archivos encriptados AES protegidos con contraseña creados por PKZIP para Windows.

Tareas Predefinidas de Copias de Seguridad de Datos


WinZip simplifica el trabajo de archivar sus datos más importantes. Un conjunto de Tareas Predefinidas de Copias de Seguridad de Datos, de acceso rápido desde cualquier interfaz de WinZip: Wizard o Classic, localiza y comprime archivos de datos desde cualquiera o todas estas ubicaciones en su computador:

  1. Mis Documentos: Comprime el contenido de la carpeta Mis Documentos y de todas sus subcarpetas.
  2. Mi Escritorio: Comprime el contenido de su Escritorio incluyendo cualquier carpeta contenida en el.
  3. Mis Favoritos: Comprime el contenido de la carpeta Favoritos de Windows y sus subcarpetas.
  4. Mi Correo Electrónico: Comprime el correo electrónico de Microsoft Outlook o Outlook Express.
  5. Mis Documentos, Escritorio, Favoritos, y Correo Electrónico: Combina todas las cuatro anteriores en un práctico archivo comprimido. Usted también puede ejecutar tareas personalizadas de copias de seguridad que le han sido proporcionadas, y los usuarios de WinZip Classic pueden crear sus propias tareas rápidamente.

2.2 VALIDACIÓN DE FIRMAS DIGITALES

Cuando se valida una firma digital, se verifica la identidad de la persona que ha firmado el PDF. En muchos casos, se necesitará el certificado del firmante para validar su firma digital.

Inicio rápido

1. Inicio rápido: Validar firmas

Cuando se abre un documento, aparece junto a la firma un icono de estado que indica si ésta es válida.

1. Haga clic en Firmas en el panel de navegación y seleccione la firma.
2. Haga clic con el botón derecho o pulse Control y haga clic, y elija Mostrar propiedades de firma.
3. Use las distintas fichas y opciones del cuadro de diálogo Propiedades de la firma para resolver los problemas relacionados con la firma. Por ejemplo, si la identidad es desconocida o no se puede verificar, haga clic en la ficha Firmante y haga clic en Mostrar certificado para determinar si el certificado es de confianza.

2. Inicio rápido: Compartir el certificado

El ID digital incluye un certificado que otras personas requieren para validar la firma del usuario y codificar documentos para él.

1. Elija Documento > Configuración de seguridad.
2. Seleccione ID digitales en el lado izquierdo.
3. Seleccione el ID digital que desea compartir y haga clic en Exportar .
4. Siga las instrucciones en pantalla para enviar por correo electrónico el certificado o guardarlo en un archivo.

Si utiliza un método de seguridad de terceros, normalmente no necesitará compartir el certificado con otros usuarios.

Validación de firmas

1. Comprobación de la validez de una firma

De forma predeterminada, las firmas se validan al abrir un PDF. Aparece un icono en el campo de firma de la página del documento para indicar el estado de aquélla. El panel Firmas y el cuadro de diálogo Propiedades de la firma muestran más detalles sobre el estado.

Los controladores de firmas de otros fabricantes pueden proporcionar métodos alternativos para validar las firmas. Compruebe la documentación incluida en el ID digital de otro proveedor.
Importante: para garantizar que las firmas se validan al abrir un PDF y que todos los detalles de verificación aparecen con la firma, defina sus preferencias de verificación de antemano (consulte Definir preferencias de verificación de firmas).

  • El icono de firma digital junto con el nombre del campo en el panel Firmas indica la presencia de un campo de firma sin firmar.
  • El icono de lazo azul indica que el PDF está certificado; es decir: que contiene una firma de certificación válida. (Las firmas de certificación pueden ser visibles o invisibles.)
  • El icono de lazo azul indica que la firma es válida.
  • El icono de la x roja indica que la firma no es válida.
  • El icono del triángulo de precaución indica que el documento se ha modificado después de la adición de la firma.
  • El icono de signo de interrogación indica que la firma no se puede validar porque el certificado de su autor no está en la lista de identidades de confianza.

Si el estado de la firma se desconoce o no está verificado, o si el documento se ha modificado después de firmarlo, valide la firma manualmente para determinar la causa del problema y su posible solución. Si el estado de la firma no es válido (indicado por el icono de la x roja), póngase en contacto con su autor para informarle del problema.

2. ¿Qué invalida una firma digital?

Una firma digital puede tener un estado no válido por las siguientes razones:

  • El certificado del autor de la firma se ha revocado.
  • El certificado del autor de la firma ha caducado
  • El autor de la firma se ha quitado de la lista de identidades de confianza o su nivel de confianza ha cambiado.
  • El PDF se ha modificado tras su firma o certificación.

3. Validar una firma manualmente

Puede evaluar la validez de una firma digital comprobando sus propiedades.

1. Establezca sus preferencias de verificación de firmas. Para más información, consulte Definir preferencias de verificación de firmas.
2. Abra el PDF que contiene la firma y haga clic en el botón Firmas situado a la izquierda para abrir el panel Firmas.
3. Seleccione la firma en el panel Firmas y elija Validar firma en el menú Opciones. En Estado de validación de la firma se describe la validez de la firma.

4. Haga clic en Propiedades de la firma y realice una de las acciones siguientes:

  • Si se desconoce el estado, haga clic en la ficha Firmante y, a continuación, haga clic en Mostrar certificado para ver los detalles del certificado. Si trabaja con ID digitales con firma personal, confirme que los detalles del certificado son válidos. Si el certificado no es válido, solicite un certificado válido al firmante. Haga clic en Aceptar.
  • Haga clic en la ficha Fecha y hora para verificar la marca de hora si es necesario
  • Haga clic en la ficha Legal para obtener más información sobre las restricciones legales de la firma. En la ficha Legal, haga clic en Ver propiedades de integridad del documento para comprobar si el documento es compatible con PDF/SiqQ o si contiene elementos que podrían alterar su aspecto.

Si el documento se ha modificado después de firmarlo, compruebe la versión firmada del documento y compárela con la versión actual.

4. Definir preferencias de verificación de firmas

Antes de abrir documentos firmados, defina sus preferencias para optimizar la validación de firmas en Reader.

1. Elija Edición > Preferencias (Windows) o Reader > Preferencias (Mac OS) y seleccione Seguridad en el lado izquierdo.
2. Para validar automáticamente todas las firmas de un PDF al abrir el documento, seleccione Verificar firmas al abrir el documento. Esta opción está activada de manera predeterminada.
3. Haga clic en Preferencias avanzadas y, a continuación, haga clic en la ficha Verificación.
4. Elija las siguientes opciones:

Al verificar

  • Estas opciones especifican métodos que determinan qué plug-in se debe elegir al verificar una firma. A menudo, el plug-in se selecciona automáticamente. Póngase en contacto con el administrador del sistema para conocer los requisitos de plug-in concretos para validar firmas
  • Requerir la comprobación de revocación de certificados al comprobar firmas siempre que sea posible
  • Seleccione esta opción para requerir la comprobación de los certificados con respecto a una lista de certificados excluidos durante la validación. Si esta opción no está seleccionada, se ignora el estado de revocación de las firmas de aprobación. El estado de revocación siempre se comprueba para las firmas de certificación.

Verificar firmas mediante

  • Seleccione una opción para determinar si la hora que aparece en la firma digital refleja la hora en que se validó la firma (hora actual), la hora establecida por el servidor de marca de hora predeterminada especificada en la configuración de seguridad, o la hora en que se creó la firma.
  • Ocultar el icono de validez del campo de firma cuando la firma es válida
  • Oculta el estado de la firma si ésta es válida, aunque el documento haya cambiado desde que se firmó (lo que se indica con una marca de verificación verde y un icono de triángulo de precaución).

5. Haga clic en la ficha Integración de Windows y especifique si puede importar identidades desde la función Certificados de Windows en la lista de identidades de confianza. Además, especifique si se debe confiar en todos los certificados raíz de la función Certificados de Windows al validar las firmas y los documentos certificados. Tenga en cuenta que al seleccionar estas opciones se puede comprometer la seguridad.

5. Introducción al panel Firmas

En el panel Firmas se muestran todas las firmas del documento actual. Cada firma tiene un icono que identifica su estado de verificación. Los detalles de verificación aparecen debajo de cada firma y se pueden ver expandiendo la firma correspondiente o realizando algunas selecciones en el menú Opciones del panel Seguridad.

  • Visualizar el panel firmas

Elija Ver > Paneles de navegación > Firmas o haga clic en el botón Firmas del panel de navegación.

La mayor parte de las tareas relacionadas con las firmas, como agregar, borrar y validar firmas, se pueden realizar haciendo clic con el botón derecho (Windows) o pulsando Control y haciendo clic (Mac OS) en un campo de firma del panel Firmas. Sin embargo, en algunos casos, el campo de firma puede quedar bloqueado después de firmarlo.

  • Expandir o contarer una firma

el en panel firmas, haga clic en el signo mas (Windows) o en el triangulo (Mac OS) situado junto a la firma para expandirla. Haga clic en el signo menos (Windows) o en el triangulo girado (Mac OS) para contraerla. Cuando esta contraída, la firma solo muestra el nombre, la fecha y el estado.

6. Validar un certificado de marca de hora

Si una firma muestra la fecha y la hora, esa hora es la local en el equipo del autor de la firma. Sin embargo, puede aparecer una segunda fecha y hora en el cuadro de diálogo Propiedades de la firma. Eso indica que el autor de la firma usa un servidor de marca de hora. Para validar una firma que contiene una marca de hora es necesario obtener el certificado del servidor de marca de hora y agregarlo a la lista de identidades de confianza. De lo contrario, la marca de hora aparece en el panel Firmas como no verificada y se debe validar manualmente.

1. Haga clic en el botón Firmas del panel de navegación, seleccione la firma y elija Validar firma en el menú Opciones.
2. Haga clic en el botón Propiedades de la firma en el cuadro de diálogo Estado de validación de la firma.
3. En el cuadro de diálogo Propiedades de la firma, haga clic en la ficha Fecha y hora para ver la autoridad de marcas de hora y, a continuación, haga clic en el botón Mostrar certificado. (Dicho botón aparece en la ficha Fecha y hora sólo si el firmante ha usado un servidor de marca de hora).

4. En el Visor de certificados, haga clic en la ficha Confiar para ver si el certificado de marca de hora es de confianza. Si no es de confianza, haga clic en Agregar identidades de confianza. Si un certificado del servidor de marca de hora no aparece en la lista, pídaselo al autor de la firma.

7. Ver versiones anteriores de un documento firmado

Cada vez que se firma un documento, se guarda una versión firmada del PDF con el PDF. Cada versión se guarda en modo sólo para adjuntar, para asegurarse de que no se puede modificar. Puede acceder a todas las firmas y sus correspondientes versiones en el panel Firmas.

1. En el panel Firmas, seleccione la firma y elija Ver versión firmada en el menú Opciones.
La versión anterior se abre en un nuevo PDF, con la información de la versión y el nombre del firmante en la barra de título.
2. Para volver al documento original, seleccione el nombre del documento en el menú Ventana.

Uso compartido y administración de certificados

  • Uso compartido de certificados con otros
  • Enviar a otros su certificado
  • Obtener certificados de otros usuarios
  • Asociar un certificado a un contacto
  • Verificar información sobre un certificado
  • Determinar el nivel de confianza de un certificado
  • Eliminar un certificado de identidades de confianza

1. Uso compartido de certificados con otros

Su ID digital incluye un certificado que otros requieren para validar su firma digital y codificar documentos para usted. Si sabe que otros necesitarán su certificado, puede enviarlo con antelación para evitar retrasos al intercambiar documentos protegidos. Las empresas que utilizan certificados para identificar a los participantes en las firmas y en los flujos de trabajo protegidos almacenan a menudo los certificados en un servidor de directorio en el que los participantes pueden realizar búsquedas para ampliar su lista de identidades de confianza.
Si utiliza un método de seguridad de terceros, normalmente no necesitará compartir el certificado con otros usuarios. Los proveedores pueden validar identidades utilizando otros métodos o estos métodos de validación se pueden integrar con Reader. Consulte la documentación del proveedor.

Cuando se recibe un certificado de alguna persona, su nombre se agrega a la lista de identidades de confianza como contacto. Los contactos se asocian normalmente a uno o varios certificados y se pueden editar, quitar o reasociar a otro certificado. Si confía en un contacto, puede definir su configuración de confianza de manera que se confíe en todas las firmas digitales y documentos certificados creados con su certificado.También puede importar certificados desde un almacén de certificados, como el almacén de certificados de Windows. Un almacén de certificados puede contener múltiples certificados emitidos por diferentes autoridades de certificación.

2. Enviar a otros su certificado

1. Elija Documento > Configuración de seguridad.
2. Seleccione ID digitales en el lado izquierdo.
3. Verifique que su información de certificado es correcta: seleccione el ID digital que desea compartir, y a continuación haga clic en el botón Detalles de certificado . Haga clic en Aceptar para regresar al cuadro de diálogo Configuración de seguridad.
4. Seleccione el ID digital y haga clic en el botón Exportar .
5. Realice una de las acciones siguientes:

  • Seleccione Enviar los datos por correo electrónico a alguien, y haga clic en Siguiente para enviar el certificado como archivo FDF a otro usuario. Escriba la dirección de correo electrónico, haga clic en Correo electrónico y envíe el mensaje de correo electrónico que aparece en la aplicación de correo electrónico predeterminada.
  • Seleccione Guardar los datos en un archivo, y a continuación haga clic en Siguiente. Elija un tipo de archivo del menú, especifique el nombre y ubicación del archivo y haga clic en Guardar.

3. Obtener certificados de otros usuarios

Los certificados que recibe de otros usuarios se conservan en una lista de identidades de confianza. Esta lista es similar a una libreta de direcciones que almacena certificados. Permite validar las firmas de estos usuarios en los documentos recibidos. También puede utilizar la lista para codificar archivos.

  • Solicitar un certificado de otro usuario

1. Elija Documento > Administrar identidades de confianza.
2. Haga clic en Solicitar contacto.
3. Escriba su nombre, dirección de correo electrónico e información de contacto.
4. Para que otros usuarios puedan agregar su certificado a la lista de identidades de confianza, seleccione Incluir mis certificados.
5. Seleccione si desea enviar la solicitud por correo electrónico o guardarla como archivo para enviarla más adelante, y a continuación haga clic en Siguiente.
6. Seleccione el archivo de ID digital que desee utilizar y haga clic en Seleccionar.
7. Realice una de las acciones siguientes:

  • Si aparece el cuadro de diálogo Redactar correo electrónico, escriba la dirección de correo electrónico de la persona a la que desea pedir un certificado y haga clic en Correo electrónico. Envíe el mensaje de correo electrónico que aparece con el certificado adjunto en la aplicación de correo electrónico predeterminada.
  • Si aparece el cuadro de diálogo Exportar datos como, especifique un nombre y una ubicación para el archivo, haga clic en Guardar y, a continuación, haga clic en Aceptar.

  • Agregar un certificado de un mensaje de correo electrónico

1. Cuando un usuario le envíe información del certificado, abra el archivo adjunto al mensaje de correo electrónico en Reader y haga clic en Definir confianza de contactos en el cuadro de diálogo que aparece.

2. Seleccione las opciones de confianza, haga clic en Aceptar y siga las instrucciones.

  • Agregar un certificado de Windows (sólo Windows)

1. En las preferencias de seguridad, haga clic en Preferencias avanzadas.
2. Haga clic en la ficha Integración de Windows y seleccione Activar la búsqueda de certificados distintos a los suyos en el almacén de certificados de Windows. Elija las opciones que desee y, a continuación, haga clic en Aceptar dos veces.
3. Elija Documento > Administrar identidades de confianza.
4. Haga clic en Agregar contactos.
5. Realice una de las acciones siguientes:

  • Si están autorizados los ID digitales de certificados de Windows, seleccione el directorio y el grupo apropiados
  • Si ha configurado un directorio de búsqueda de identidades, seleccione el directorio y el grupo apropiados. A continuación, puede hacer clic en Buscar para encontrar certificados específicos.
  • Haga clic en Examinar, seleccione el archivo de certificado y haga clic en Abrir.

6. Seleccione el certificado agregado en la lista Contactos para agregarlo a la lista Certificados. Seleccione el certificado en la lista Certificados y haga clic en Detalles.
7. En el cuadro de diálogo Visor de certificados, haga clic en la ficha Detalles y tome nota de los valores Compendio MD5 y Compendio SHA1 (huella digital). Póngase en contacto con el emisor del certificado para confirmar que los valores son correctos. Sólo se debe confiar en el certificado si los valores son correctos. Haga clic en Aceptar.
8. Una vez que haya confirmado que la información es correcta, haga clic en Confiar, especifique las opciones de confianza y haga clic en Aceptar.

  • Importar certificados con el Asistente de certificados de Windows (sólo Windows)

Si utiliza el almacén de certificados de Windows para organizar los certificados, puede importarlos usando un asistente en el Explorador de Windows.

1. En el Explorador de Windows, haga clic con el botón derecho en el archivo del certificado y elija Instalar certificado.
2. Siga las instrucciones que aparecen en la pantalla para agregar el certificado al almacén de certificados de Windows.
3. Si se le pide que valide el certificado antes de instalarlo, tome nota de los valores que aparecen en Compendio MD5 y Compendio SHA1 (huella digital). Póngase en contacto con el emisor del certificado para confirmar que los valores son correctos. Sólo se debe confiar en el certificado si los valores son correctos. Haga clic en Aceptar.

  • Agregar un certificado mediante una firma en un PDF

Puede agregar un certificado de forma segura a las identidades de confianza desde un PDF firmado verificando antes la huella digital con el emisor del certificado.

1. Abra el PDF que contiene la firma personal del usuario.
2. Haga clic en la firma en el documento para comprobar si es válida.
3. Haga clic en Propiedades de la firma y, a continuación, en Mostrar certificado.
4. En el cuadro de diálogo Visor de certificados, haga clic en la ficha Detalles y tome nota de los valores Compendio MD5 y Compendio SHA1 (huella digital). Póngase en contacto con el emisor del certificado para confirmar que los valores son correctos. Sólo se debe confiar en el certificado si los valores son correctos.
5. Tras verificar que la información del certificado es correcta, haga clic en la ficha Confiar, haga clic en Agregar identidades de confianza, haga clic en Aceptar, especifique las opciones de confianza y, a continuación, haga clic en Aceptar.

4. Asociar un certificado a un contacto

Los contactos son identidades normalmente de confianza con las que se intercambian documentos. Para intercambiar archivos PDF codificados con un contacto, debe asociar al menos un certificado con dicho contacto.

Al agregar un contacto, puede que se agregue o no un certificado, ya que los certificados no se adjuntan necesariamente a la información de contacto. Agregue la información de contacto desplazándose hasta la ubicación del archivo de contacto o busque el archivo.

1. Elija Documento > Administrar identidades de confianza.
2. Seleccione el contacto y haga clic en Detalles.
3. Seleccione un nombre de la lista y haga clic en Asociar certificado.
4. Seleccione un certificado y haga clic en Aceptar. Haga clic en Aceptar de nuevo.

5. Verificar información sobre un certificado

En el cuadro de diálogo Visor de certificados se muestran los atributos del usuario y otros datos sobre un certificado. Cuando otros usuarios importen su certificado, pueden pedirle que compare su información de huella digital con la información que han recibido con el certificado. (La huella digital hace referencia a los valores de Compendio MD5 y Compendio SHA1.) Puede comprobar la información del certificado para sus propios archivos de ID digital o para los archivos de ID importados. En el cuadro de diálogo Visor de certificados se muestran el período de validez, el uso previsto y datos del certificado, tales como el número de serie exclusivo y el método de clave pública. También puede comprobar si la autoridad de certificados ha revocado el certificado. Los certificados se revocan normalmente cuando un empleado abandona la empresa o cuando se ha puesto en peligro la seguridad de algún modo.

  • Comprobar la información de su propio certificado

1. Elija Documento > Configuración de seguridad.

2. Seleccione el ID digital y haga clic en Detalles del certificado

  • Comprobar la información del certificado de otra persona

1. elija documentos > administrar identidades de confianza
2. seleccione el contacto y haga clic en detalles
3. seleccione el nombre del certificado y haga clic en mostrar certificado

4. haga clic en la ficha renovación y, a continuación, haga clic en comprobar renovación.

Los resultados de la comprobación de la renovación aparecen en el cuadro detalles.

6. Determinar el nivel de confianza de un certificado

Puede cambiar la configuración de confianza de los certificados. Por ejemplo, si ha verificado la huella digital incluida en un certificado enviado por otra persona, puede cambiar la configuración para confiar explícitamente en todas las firmas digitales y documentos certificados creados con ese certificado. Puede elegir incluso confiar en el archivo JavaScript incrustado y en el contenido dinámico del documento certificado.

Se deberá confiar explícitamente en un certificado antes de poder utilizarlo para codificar archivos PDF para la persona asociada a dicho certificado. Si dispone de múltiples certificados para una persona, defina niveles de confianza para al menos uno de sus certificados.

También puede confiar en un certificado si el certificado raíz se considera de confianza. El certificado raíz es la autoridad de origen en la cadena de autoridades de certificados que emitieron el certificado. Si confía en el certificado raíz, confía en todos los certificados emitidos por esa autoridad de certificados. Tenga cuidado al confiar en certificados raíces.

1. Elija Documento > Administrar identidades de confianza.
2. Seleccione un contacto y haga clic en Detalles.
3. Seleccione el nombre del certificado y haga clic en Editar Confianza.

4. En la ficha Confianza, seleccione cualquiera de los elementos siguientes para confiar en este certificado:

  • Firmas y como una raíz de confianza
  • Confía en las firmas de este certificado y confía en el certificado como raíz de confianza para que otros certificados que lo tengan como raíz en una cadena de certificados se consideren también de confianza.
  • Documentos certificados
  • Confía en documentos que el autor ha certificado con una firma de autor.
    Contenido dinámico
  • Confía en películas, archivos de sonido y otros elementos dinámicos.
  • JavaScript privilegiado incrustado
  • Confía en secuencias de comandos incrustadas.

5. Haga clic en Aceptar, haga clic de nuevo en Aceptar y, a continuación, haga clic en Cerrar.

7. Eliminar un certificado de identidades de confianza

1. Elija Documento > Administrar identidades de confianza.
2. Elija Certificados en el menú Mostrar.
3. Seleccione el certificado y haga clic en Eliminar.

Servidores de directorio

  • Acerca de los servidores de directorio
  • Configurar manualmente un servidor de directorio
  • Importar y exportar la configuración de un servidor de directorio

1. Acerca de los servidores de directorio

Normalmente, los servidores de directorio se usan como depósitos centralizados de identidades en una organización. Como tal, el servidor constituye una ubicación ideal para almacenar certificados de usuarios en empresas que usan la codificación por certificado. Los directorios facilitan la localización de certificados en servidores de red, incluidos los servidores LDAP (Lightweight Directory Access Protocol, Protocolo ligero de acceso a directorios). Después de localizar un certificado, puede agregarlo a la lista de identidades de confianza para no tener que buscarlo otra vez. Mediante el desarrollo de un área de almacenamiento de certificados de confianza, usted o un miembro de su grupo de trabajo puede facilitar el uso de la codificación en el grupo de trabajo.

2. Configurar manualmente un servidor de directorio

1. Elija Documento > Configuración de seguridad.
2. Seleccione Servidores de directorio en el lado izquierdo.
3. Haga clic en el botón Nuevo , escriba el nombre del directorio y la configuración del servidor, y haga clic en Aceptar.

Para obtener más información sobre la configuración del servidor, póngase en contacto con el administrador del sistema.

3. Importar y exportar la configuración de un servidor de directorio

Los administradores y usuarios pueden exportar la configuración del directorio en un archivo FDF (Formato de datos de formulario) y utilizar dicho archivo para configurar el servidor de directorio en otro equipo. Al exportar el archivo, puede elegir enviarlo como un documento firmado adjunto a un mensaje de correo electrónico.

  • Exportar la configuración de un servidor de directorio

1. Elija Documento > Configuración de seguridad.
2. Seleccione Servidores de directorio, a la izquierda, y elija un servidor a la derecha.
3. Haga clic en Exportar.
4. Seleccione un destino y haga clic en Siguiente.
5. Si necesita comprobar la información del archivo FDF, haga clic en Firmar, agregue su firma y haga clic en Siguiente.
6. Realice una de las acciones siguientes:

  • Si desea guardar el archivo, especifique un nombre y una ubicación para él y haga clic en Guardar.
  • Si desea enviar el archivo como adjunto en un mensaje de correo electrónico, escriba la dirección en el cuadro Para, haga clic en Siguiente y, a continuación, haga clic en Finalizar.

  • Importar la configuración de un servidor de directorio

1. realice una de las acciones siguientes:

  • Haga doble clic en el archivo FDF
  • Elija documentos > configuración de seguridad, seleccione servidores de directorio a la izquierda y a continuación, haga clic en importar.
  • Seleccione el archivo FDF y haga clic en abrir.

2. Si el archivo FDF esta firmado, haga clic en el botón derecho o pulse control y haga clic en la firma y elija las opciones para validarla o ver sus propiedades.

3.Haga clic en Importar configuración del directorio de búsqueda.

4.Si se le solicita que confirme su elección, haga clic en Aceptar y, a continuación, en Cerrar.

El servidor de directorio aparece en el cuadro de diálogo Configuración de seguridad.

2.3 FIREWALL Y REDES PRIVADAS VIRTUALES

FIREWALL

Se trata de aplicaciones destinadas a prevenir que penetren en la PC elementos no deseados vía Internet. Para esto concentran todo el flujo entrante y saliente, entre la PC e Internet y bloquea los pedidos de enlaces no solicitados por el usuario potencialmente inseguro, instalaciones clandestinas d programación y algunos hasta bloquean pop ups, publicidades, etc.

Un firewall es un dispositivo de seguridad, veamos exactamente lo que hace y en que se basa su funcionamiento.

Un firewall es un dispositivo que funciona como cortafuegos entre redes, permitiendo o denegando las transmisiones de una red a la otra. Un uso típico es situarlo entre una red local y la red Internet, como dispositivo de seguridad para evitar que los intrusos puedan acceder a información confidencial.

Un firewall es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en función de lo que sean permite o deniega su paso. Para permitir o denegar una comunicación el firewall examina el tipo de servicio al que corresponde, como pueden ser el web, el correo o el IRC. Dependiendo del servicio el firewall decide si lo permite o no. Además, el firewall examina si la comunicación es entrante o saliente y dependiendo de su dirección puede permitirla o no.

De este modo un firewall puede permitir desde una red local hacia Internet servicios de web, correo y ftp, pero no a IRC que puede ser innecesario para nuestro trabajo. También podemos configurar los accesos que se hagan desde Internet hacia la red local y podemos denegarlos todos o permitir algunos servicios como el de la web, (si es que poseemos un servidor web y queremos que accesible desde Internet). Dependiendo del firewall que tengamos también podremos permitir algunos accesos a la red local desde Internet si el usuario se ha autentificado como usuario de la red local.

Un firewall puede ser un dispositivo software o hardware, es decir, un aparatito que se conecta entre la red y el cable de la conexión a Internet, o bien un programa que se instala en la máquina que tiene el MODEM que conecta con Internet. Incluso podemos encontrar ordenadores computadores muy potentes y con software específico que lo único que hacen es monitorizar las comunicaciones entre redes.

RED PRIVADA VIRTUAL

¿Qué es una VPN?
La VPN es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo Internet.

El ejemplo más común es la posibilidad de conectar dos o más sucursales de una empresa utilizando como vínculo Internet, permitir a los miembros del equipo de soporte técnico la conexión desde su casa al centro de cómputo, o que un usuario pueda acceder a su equipo doméstico desde un sitio remoto, como por ejemplo un hotel. Todo esto utilizando la infraestructura de Internet.Para hacerlo posible de manera segura es necesario proveer los medios para garantizar la autenticación, integridad y confidencialidad de toda la comunicación:

  • Autenticación y autorización: ¿Quién está del otro lado? Usuario/equipo y qué nivel de acceso debe tener.
  • Integridad: La garantía de que los datos enviados no han sido alterados. Para ello se utiliza un método de comparación (Hash).Los algoritmos comunes de comparación son Message Digest (MD) y Secure Hash Algorithm (SHA).
  • Confidencialidad: Dado que los datos viajan a través de un medio potencialmente hostil como Internet, los mismos son susceptibles de intercepción, por lo que es fundamental el cifrado de los mismos. De este modo, la información no debe poder ser interpretada por nadie más que los destinatarios de la misma. Se hace uso de algoritmos de cifrado como Digital Encryption Standard (DES), Triple DES (3DES) y Advanced Encryption Standard (AES).
  • No repudio, es decir un mensaje tiene que ir firmado, y el que lo firma no puede negar que el mensaje lo envió él.

Requerimientos Básicos de una VPN (Red Privada Virtual)

Identificación de Usuario
Las VPN's (Redes Virtuales Privadas) deben verificar la identidad de los usuarios y restringir su acceso a aquellos que no se encuentren autorizados.

Codificación de Datos
Los datos que se van a transmitir a través de la red pública (Internet), antes deben ser cifrados/codificados, para que así no puedan ser leídos. La codificación se realiza con algoritmos de codificación como DES o 3DES.

Administración de claves
Las VPN's deben actualizar las claves de codificación para los usuarios.

Soporte a protocolos múltiples
Las VPN's deben manejar los protocolos comunes, como son el protocolo de Internet (IP), intercambio del paquete de Internet (IPX), etc.


Tipos de VPN (Red Privada Virtual)

Básicamente existen tres arquitecturas de conexión VPN:

VPN (Red Privada Virtual) de acceso remoto
Éste es quizás el modelo más usado actualmente y consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hotel, aviones, etcétera) utilizando Internet como vínculo de acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa. Muchas empresas han reemplazado con esta tecnología su infraestructura 'dial-up' (módems y líneas telefónicas), aunque por razones de contingencia todavía conservan sus viejos modems. Lo común es que sea una red privada virtual....

VPN (Red Privada Virtual) punto a punto
Este esquema se utiliza para conectar oficinas remotas con la sede central de organización. El servidor VPN, que posee un vínculo permanente a Internet, acepta las conexiones vía Internet provenientes de los sitios y establece el túnel VPN. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, típicamente mediante conexiones de banda ancha. Esto permite eliminar los costosos vínculos punto a puntos tradicionales, sobre todo en las comunicaciones internacionales.... Es más común el punto anterior, también llamada tecnología de túnel o tunneling:

Tunneling
Internet se construyó desde un principio como un medio inseguro. Muchos de los protocolos utilizados hoy en día para transferir datos de una máquina a otra a través de la red carecen de algún tipo de cifrado o medio de seguridad que evite que nuestras comunicaciones puedan ser interceptadas y espiadas. HTTP, FTP, POP3 y otros muchos protocolos ampliamente usados, utilizan comunicaciones que viajan en claro a través de la red. Esto supone un grave problema, en todas aquellas situaciones en las que queremos transferir entre máquinas información sensible, como pueda ser una cuenta de usuario (nombre de usuario y contraseña), y no tengamos un control absoluto sobre la red, a fin de evitar que alguien pueda interceptar nuestra comunicación por medio de la técnica del hombre en el medio (man in the middle), como es el caso de la Red de redes.

¿Qué es el tunneling?El problema de los protocolos que envían sus datos en claro, es decir, sin cifrarlos, es que cualquier persona que tenga acceso físico a la red en la que se sitúan nuestras máquinas puede ver dichos datos. Es tan simple como utilizar un sniffer, que básicamente, es una herramienta que pone nuestra tarjeta de red en modo promiscuo (modo en el que las tarjetas de red operan aceptando todos los paquetes que circulan por la red a la que se conectan, sean o no para esa tarjeta). De este modo, alguien que conecte su máquina a una red y arranque un sniffer recibirá y podrá analizar por tanto todos los paquetes que circulen por dicha red. Si alguno de esos paquetes pertenece a un protocolo que envía sus comunicaciones en claro, y contiene información sensible, dicha información se verá comprometida. Si por el contrario, ciframos nuestras comunicaciones con un sistema que permita entenderse sólo a las dos máquinas que queremos sean partícipes de la comunicación, cualquiera que intercepte desde una tercera máquina nuestros paquetes, no podrá hacer nada con ellos, al no poder descifrar los datos. Una forma de evitar el problema que nos atañe, sin dejar por ello de utilizar todos aquellos protocolos que carezcan de medios de cifrado, es usar una útil técnica llamada tunneling.

Básicamente, esta técnica consiste en abrir conexiones entre dos máquinas por medio de un protocolo seguro, como puede ser SSH (Secure SHell), a través de las cuales realizaremos las transferencias inseguras, que pasarán de este modo a ser seguras. De esta analogía viene el nombre de la técnica, siendo la conexión segura (en este caso de ssh) el túnel por el cual enviamos nuestros datos para que nadie más aparte de los interlocutores que se sitúan a cada extremo del túnel, pueda ver dichos datos. Ni que decir tiene, que este tipo de técnica requiere de forma imprescindible que tengamos una cuenta de acceso seguro en la máquina con la que nos queremos comunicar.

VPN interna WLAN
Este esquema es el menos difundido pero uno de los más poderosos para utilizar dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en vez de utilizar Internet como medio de conexión, emplea la misma red de área local (LAN) de la empresa. Sirve para aislar zonas y servicios de la red interna. Esta capacidad lo hace muy conveniente para mejorar las prestaciones de seguridad de las redes inalámbricas (WiFi).Un ejemplo muy clásico es un servidor con información sensible, como las nóminas de sueldos, ubicado detrás de un equipo VPN, el cual provee autenticación adicional más el agregado del cifrado, haciendo posible que sólo el personal de RRHH habilitado pueda acceder a la información.

¿Por qué VPN?

Coste o Costo

La principal motivación del uso y difusión de esta tecnología es la reducción de los costos de comunicaciones directos, tanto en líneas dial-up como en vínculos WAN dedicados. Los costos se reducen drásticamente en estos casos:

  • En el caso de accesos remotos, llamadas locales a los ISP (Internet Service Provider) en vez de llamadas de larga distancia a los servidores de acceso remoto de la organización. O también mediante servicios de banda ancha.
  • En el caso de conexiones punto a punto, utilizando servicios de banda ancha para acceder a Internet, y desde Internet llegar al servidor VPN de la organización. Todo esto a un costo sensiblemente inferior al de los vínculos WAN dedicados.

Ancho de banda

Podemos encontrar otra motivación en el deseo de mejorar el ancho de banda utilizado en conexiones dial-up. Las conexiones VPN de banda ancha mejoran notablemente la capacidad del vínculo.

Implementaciones

Todas las opciones disponibles en la actualidad caen en tres categorías básicas: soluciones de hardware, soluciones basadas en cortafuegos y aplicaciones VPN por software.
El protocolo estándar de hecho es el IPSEC, pero también tenemos PPTP, L2F, L2TP, SSL/TLS, SSH, etc. Cada uno con sus ventajas y desventajas en cuanto a seguridad, facilidad, mantenimiento y tipos de clientes soportados.Actualmente hay una línea de productos en crecimiento relacionada con el protocolo SSL/TLS, que intenta hacer más amigable la configuración y operación de estas soluciones.

  • Las soluciones de hardware casi siempre ofrecen mayor rendimiento y facilidad de configuración, aunque no tienen la flexibilidad de las versiones por software. Dentro de esta familia tenemos a los productos de Nortel, Cisco, Linksys, Netscreen, Symantec, Nokia, US Robotics, D-link etc.
  • En el caso basado en cortafuegos, se obtiene un nivel de seguridad alto por la protección que brinda el cortafuego, pero se pierde en rendimiento. Muchas veces se ofrece hardware adicional para procesar la carga VPN. Por ejemplo: Checkpoint NG, Cisco Pix.
  • Las aplicaciones VPN por software son las más configurables y son ideales cuando surgen problemas de interoperatividad en los modelos anteriores. Obviamente el rendimiento es menor y la configuración más delicada, porque se suma el sistema operativo y la seguridad del equipo en general. Aquí tenemos por ejemplo a las soluciones nativas de Windows, Linux y los Unix en general. Por ejemplo productos de código abierto (Open Source) como OpenSSH, OpenVPN y FreeS/Wan.

Ventajas de una VPN (Red Privada Virtual)

  • Una de sus ventajas más importantes es su integridad, confidencialidad y seguridad de datos.
  • Las VPN´s reducen costos y son sencillas de usar.
  • Su instalación es sencilla en cualquier PC.
  • Su control de acceso esta basado en políticas de la organización.
  • Los algoritmos de compresión que utiliza una VPN optimizan el tráfico del usuario.
  • Las VPN´s evitan el alto costo de las actualizaciones y mantenimiento de PC's remotas.
  • Las VPN´s ahorran en costos de comunicaciones y en costes operacionales.
  • Los trabajadores, mediante el uso de las VPN´s, pueden acceder a los servicios de la compañía sin necesidad de llamadas. Una organización puede ofrecer servicios a sus socios mediante VPN´s, ya que éstas permiten acceso controlado y brindan un canal seguro para compartir la información de las organizaciones.

Tipos de Conexión de una VPN (Red Privada Virtual)

Conexión de Acceso Remoto

Una conexión de acceso remoto es realizada por un cliente o un usuario de un computador que se conecta a una red privada, los paquetes enviados a través de la conexión VPN son originados al cliente de acceso remoto, y este se autentica al servidor de acceso remoto, y el servidor se autentica ante el cliente.

Conexión VPN Router a Router

Una conexión VPN router a router, es realizada por un router, y este a su vez se conecta a una red privada, en una conexión VPN router a router, los paquetes enviados desde cualquier router no se originan en los routers. El router que realiza la llamada se autentica ante el router que responde y este a su vez se autentica ante el router que realiza la llamada.

Conclusiones

Definitivamente las VPN´s han llegado para quedarse y pronto muchos de nosotros las estaremos usando en forma natural incluso sin saberlo.
Pero es interesante destacar que salvo en contadas excepciones, la seguridad no figura entre las motivaciones que potencian su utilización. Para que su uso sea seguro en el tiempo es necesaria una importante inversión, que no todas las empresas y particulares están dispuestos a realizar.

2.4 PROTOCOLOS DE SEGURIDAD

Seguridad en la Web

Dado el gran auge que hoy en día tiene Internet, su uso se ha masificado enormemente. Desde páginas meramente informativas hasta sitios interactivos usando tecnologías nuevas.

Epresas de diversa índole ya usan la Internet para comunicarse y el problema principal que surgió es la confiabilidad en que lo que se esta comunicando no sea visto por personas que puedan hacer mal uso de dicha información.

Por ejemplo, las tiendas comerciales ya están dando la posibilidad de realizar compras por la Web, pero el principal talón de Aquiles lo constituye la inseguridad que causa dar un número de tarjeta de crédito para pagar la compra.

O cosas tan simples como cuando uno envía un mail y no querer que nadie lo lea sino el destinatario.

A raíz de todo esto surgieron tecnologías que persiguen mejorar la seguridad de todas estas comunicaciones.

Seguridad en la transmisión

La seguridad de este tipo se basa en el hecho de poder encriptar los mensajes que se envían por a red entre un servidor y un cliente y que solo ellos puedan descifrar los contenidos a partir de una clave común conocida solo por los dos.

Para llevar a cabo esta seguridad se crearon diversos protocolos basados en esta idea:

  • SSH: Usado exclusivamente en reemplazo de telnet
  • SSL: Usado principalmente en comunicaciones de hipertexto pero con posibilidad de uso en otros protocolos
  • TSL: Es del mismo estilo del anterior.
  • HTTPS: Usado exclusivamente para comunicaciones de hipertexto

SSH (Secure Shell)

Este protocolo fue diseñado para dar seguridad al acceso a computadores en forma remota.
Cumple la misma función que telnet o rlogin pero además, usando criptografía, logra seguridad con los datos.

A diferencia de telnet u otro servicio similar, SSH utiliza el puerto 22 para la comunicación y la forma de efectuar su trabajo es muy similar al efectuado por SSL.

Para su uso se requiere que por parte del servidor exista un demonio que mantenga continuamente en el puerto 22 el servicio de comunicación segura, el sshd.

El cliente debe ser un software tipo TeraTerm o Putty que permita la hacer pedidos a este puerto 22 de forma cifrada.

La forma en que se entabla una comunicación es en base la misma para todos los protocolos seguros:

  • El cliente envía una señal al servidor pidiéndole comunicación por el puerto 22.
  • El servidor acepta la comunicación en el caso de poder mantenerla bajo encriptación mediante un algoritmo definido y le envía la llave pública al cliente para que pueda descifrar los mensajes.
  • El cliente recibe la llave teniendo la posibilidad de guardar la llave para futuras comunicaciones o destruirla después de la sesión actual.

Se recomienda que si se esta en un computador propio, la clave sea guardada, en otro caso, destruirla.

SL (Secure Socket Layer) y TLS(Transport Layer Secure)

El protocolo SSL fue desarrollado por Netscape para permitir confidencialidad y autenticación en Internet. SSL es una capa por debajo de HTTP y tal como lo indica su nombre esta a nivel de socket por lo que permite ser usado no tan solo para proteger documentos de hipertexto sino también servicios como FTP, SMTP, TELNET entre otros.

La idea que persigue SSL es encriptar la comunicación entre servidor y cliente mediante el uso de llaves y algoritmos de encriptación.

El protocolo TLS esta basado en SSL y son similares en el modo de operar.

Es importante señalar que ambos protocolos se ejecutan sobre una capa de transporte definida, pero no determinada. Esto indica que pueden ser utiizados para cualquier tipo de comunicaciones. La capa de transporte más usada es TCP cobre la cual pueden implementar seguridad en HTTP.

Como punto de diferencia se puede mencionar que existen protocolos implementados sobre la capa de red, por ejemplo sobre IP. Tal es el caso de IPSec.

Publicado por haiseck en 7:28