Seguridad en redes inalámbricas y comercio electrónico

WEP Security

Wired Equivalent Privacy es el sistema de cifrado incluido en el estándar IEEE 802.11 como protocolo para redes Wireless que permite cifrar la información que se transmite. Proporciona un cifrado a nivel 2, basado en el algoritmo de cifrado RC4 que utiliza claves de 64 bits (40 bits más 24 bits del vector de iniciación IV) o de 128 bits (104 bits más 24 bits del IV).

Servicios

autentificación, confidencialidad en redes WLAN ,EP provee autenticación abierta y de clave compartida. Auntenticación abierta: un cliente inalámbrico o un AP, provee un nombre incluido en los paquetes de una red WLAN para identificarlos como parte de la misma, este nombre se denomina SSID, y es común para los clientes inalámbricos y sus APs Autentica med clave compartida: 1. La estación cliente envía una petición de autenticación al Punto de Acceso. 2. El punto de acceso envía de vuelta un reto en texto claro. 3. El cliente tiene que cifrar el texto modelo usando la clave WEP ya configurada, y reenviarlo al Punto de Acceso en otra petición de autenticación. 4. El Punto de Acceso descifra el texto codificado y lo compara con el texto modelo que había enviado. Dependiendo del éxito o deng Wep encription Pasos: 1. CRC32 calcula un checksum ICV a partir de los datos y es concatenado al final de los propios datos. 2. Se toma un IV. 3. El IV y la Rk se concatenan y forman la clave K = IV ||Rk. 4. La clave K se introduce en el algoritmo RC4 para generar un keystream X de la misma longitud que los datos y el ICV 5. Se realiza la operación XOR entre los datos en claro y el ICV con X y se obtienen los datos cifrados. Debilidades: 1. El uso de claves secretas cortas hace posible obtenerlas por fuerza bruta, 2. La reutilización de claves permite la recuperación parcial de los paquetes, 3. Ciertas IV(vectores de iniciación) débiles en RC4 son utilizadas mediante ataques estadísticos para la revelación de la clave y el tratamiento del código

8 EAP

EAP fue diseñado para utilizarse en la autenticación para acceso a la red, donde la conectividad de la capa IP puede no encontrarse disponible. AUTENTICACIÓN EAP Pasos: 1) El servidor de autenticación envía un Request (Solicitud) de Autenticación al cliente 2) El cliente envía un paquete Response (Respuesta) al servidor. Al igual que en el paquete Request 3) El servidor de autenticación envía un paquete Request adicional, al cual el cliente envía un Response. 4) La conversación continúa hasta que el servidor no puede autenticar al cliente, failure.

COMMERCE ELECTRONIC

Existen diversos protocolos de seguridad utilizados para realizar las transacciones electrónicas, pero lo más utilizados son los siguientes:

• SSL/TLS. Es un protocolo de seguridad para cualquier aplicación de Internet y, por lo tanto, se puede utilizar en el comercio electrónico. Está muy extendido y actualmente todos los navegadores comerciales lo implementan
• SET. Es un protocolo especialmente diseñado para el comercio electrónico con tarjetas de crédito.

COOKIES

Una cookie en realidad es un archivo que se guarda en el disco del usuario y le permite al servidor web distinguir a ese usuario cuando cambia de página web. Las cookies son usadas principalmente por sitios web de comercio electrónico en los que se guardan las preferencias del usuario (como las opciones que han sido seleccionadas previamente) de manera que el usuario no tenga que volver a seleccionarlas la próxima vez que visite este sitio. Usos: gestión de sesiones, perzonalixaion, rastreo Atributos:Caducidad, autenticidad,cesta. Funcionamiento: Las solicitudes y respuestas HTTP contienen encabezados que envían datos específicos en ambas direcciones. Uno de estos encabezados está reservado para escribir archivos destinados al disco duro: cookies. Nombre, dominio, tiempo de vida. Seguridad: Cuando un usuario se conecta a un sitio web que puede ser personalizado, se le solicita que responda a varias preguntas a fin de crear un perfil y luego almacenar esta información en una cookie. Lo ideal sería que una cookie contenga una cadena aleatoria (identificación de sesión) única, difícil de descifrar y válida sólo por un tiempo determinado. Amenazas: identificacion inexacta, robo de cookies, cross site scripting. Falsificacion de cookies, cookies entre sitios.