Seguridad en Redes Inalámbricas y Comercio Electrónico: Protocolos y Cookies

Enviado por Chuletator online y clasificado en Informática y Telecomunicaciones

Escrito el en español con un tamaño de 5,53 KB

Seguridad WEP (Wired Equivalent Privacy)

Wired Equivalent Privacy (WEP) es el sistema de cifrado incluido en el estándar IEEE 802.11 como protocolo para redes Wireless que permite cifrar la información que se transmite. Proporciona un cifrado a nivel 2, basado en el algoritmo de cifrado RC4 que utiliza claves de 64 bits (40 bits más 24 bits del vector de iniciación IV) o de 128 bits (104 bits más 24 bits del IV).

Servicios de WEP

Ofrece servicios de autenticación y confidencialidad en redes WLAN. WEP provee autenticación abierta y de clave compartida.

  • Autenticación abierta: Un cliente inalámbrico o un Punto de Acceso (AP) provee un nombre incluido en los paquetes de una red WLAN para identificarlos como parte de la misma; este nombre se denomina SSID y es común para los clientes inalámbricos y sus APs.
  • Autenticación mediante clave compartida:
    1. La estación cliente envía una petición de autenticación al Punto de Acceso.
    2. El Punto de Acceso envía de vuelta un reto en texto claro.
    3. El cliente tiene que cifrar el texto modelo usando la clave WEP ya configurada y reenviarlo al Punto de Acceso en otra petición de autenticación.
    4. El Punto de Acceso descifra el texto codificado y lo compara con el texto modelo que había enviado. Dependiendo del éxito o denegación.

Cifrado WEP (WEP Encryption)

Pasos del proceso:

  1. CRC32 calcula un checksum ICV a partir de los datos y es concatenado al final de los propios datos.
  2. Se toma un IV (Vector de Iniciación).
  3. El IV y la Rk se concatenan y forman la clave K = IV || Rk.
  4. La clave K se introduce en el algoritmo RC4 para generar un keystream X de la misma longitud que los datos y el ICV.
  5. Se realiza la operación XOR entre los datos en claro y el ICV con X, obteniéndose los datos cifrados.

Debilidades de WEP

  1. El uso de claves secretas cortas hace posible obtenerlas por fuerza bruta.
  2. La reutilización de claves permite la recuperación parcial de los paquetes.
  3. Ciertos IV débiles en RC4 son utilizados mediante ataques estadísticos para la revelación de la clave y el tratamiento del código.

Protocolo EAP (Extensible Authentication Protocol)

EAP fue diseñado para utilizarse en la autenticación para acceso a la red, donde la conectividad de la capa IP puede no encontrarse disponible.

Pasos de la Autenticación EAP

  1. El servidor de autenticación envía un Request (Solicitud) de autenticación al cliente.
  2. El cliente envía un paquete Response (Respuesta) al servidor, al igual que en el paquete Request.
  3. El servidor de autenticación envía un paquete Request adicional, al cual el cliente envía un Response.
  4. La conversación continúa hasta que el servidor autentica al cliente o se produce un failure (fallo).

Comercio Electrónico (Electronic Commerce)

Existen diversos protocolos de seguridad utilizados para realizar las transacciones electrónicas, pero los más utilizados son los siguientes:

  • SSL/TLS: Es un protocolo de seguridad para cualquier aplicación de Internet y, por lo tanto, se puede utilizar en el comercio electrónico. Está muy extendido y actualmente todos los navegadores comerciales lo implementan.
  • SET: Es un protocolo especialmente diseñado para el comercio electrónico con tarjetas de crédito.

Cookies y su Funcionamiento

Una cookie en realidad es un archivo que se guarda en el disco del usuario y le permite al servidor web distinguir a ese usuario cuando cambia de página web. Las cookies son usadas principalmente por sitios web de comercio electrónico en los que se guardan las preferencias del usuario (como las opciones que han sido seleccionadas previamente), de manera que el usuario no tenga que volver a seleccionarlas la próxima vez que visite este sitio.

Usos, Atributos y Funcionamiento

  • Usos: Gestión de sesiones, personalización y rastreo.
  • Atributos: Caducidad, autenticidad y cesta.
  • Funcionamiento: Las solicitudes y respuestas HTTP contienen encabezados que envían datos específicos en ambas direcciones. Uno de estos encabezados está reservado para escribir archivos destinados al disco duro: las cookies. Contienen información como nombre, dominio y tiempo de vida.

Seguridad y Amenazas

Cuando un usuario se conecta a un sitio web que puede ser personalizado, se le solicita que responda a varias preguntas a fin de crear un perfil y luego almacenar esta información en una cookie. Lo ideal sería que una cookie contenga una cadena aleatoria (identificación de sesión) única, difícil de descifrar y válida solo por un tiempo determinado.

Amenazas principales:

  • Identificación inexacta.
  • Robo de cookies.
  • Cross Site Scripting (XSS).
  • Falsificación de cookies.
  • Cookies entre sitios.
Karma: 8%
Visitas: 0

Entradas relacionadas:

Etiquetas:
Redes Wireless Cookies Vulnerabilidades Ciberseguridad Protocolo SSL Seguridad WEP Protocolo TLS Protocolo EAP Seguridad Web Protocolo SET Comercio Electrónico Cifrado RC4 Autenticación