Herramientas de usuario
sad:t2:p1
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Ambos lados, revisión anterior Revisión previa Próxima revisión | Revisión previa | ||
|
sad:t2:p1 [2017/09/28 07:50] José Manuel Guallar |
sad:t2:p1 [2019/01/04 13:18] (actual) |
||
|---|---|---|---|
| Línea 1: | Línea 1: | ||
| - | ====== Introducción ====== | + | ====== Aplicación Hotspot Shield====== |
| + | **Herramientas de seguridad** | ||
| - | **OpenSSL** | + | ** Navegación a través de un túnel cifrado ** |
| - | Secure Sockets Layer es un protocolo de la capa de aplicación que fue desarrollado por Netscape Corporation con el propósito de transmitir información confidencial, como datos de las tarjetas de crédito, a través de Internet. | ||
| - | SSL funciona utilizando una clave privada para cifrar los datos transferidos a través de la conexión habilitada para SSL, lo que evita la escucha ilegal de la información. | + | La aplicación crea un túnel cifrado entre el sistema en que se instala y los servidores del suministrador de servicio mediante una VPN de modo que |
| - | El uso más popular de SSL es utilizarlo junto con el navegador web (utilizando el protocolo HTTP), pero muchas aplicaciones de red pueden beneficiarse del uso de SSL. Las URL que requieren una conexión SSL comienzan con https: en lugar de http :. | + | * Toda acceso al exterior se conecta al túnel para salir al exterior |
| + | * De modo transparente al usuario | ||
| + | * Mantiene el anonimato de las conexiones | ||
| - | OpenSSL es una robusta implementación Oopen Source que habilita herramientas SSL y una biblioteca de propósito general basada en SSLeay, desarrollada por Eric A. Young y Tim J. Hudson. | + | Es muy útil para cifrar las conexiones cuando se utilizan accesos públicos a Internet |
| + | Se puede descargar desde http://hotspotshield.com/ | ||
| - | **X.509** | + | 1.- Vista de la tabla de rutas antes de la instalación de Hotspot Shield |
| - | X.509 es una especificación para certificados digitales publicada por la Unión Internacional de Telecomunicaciones | + | 2.- Ejecución de tracert |
| - | - Telecomunicaciones (UIT-T). Especifica la información y los atributos necesarios para la identificación de una persona o un sistema informático, se utiliza para la gestión segura y la distribución de certificados firmados digitalmente a través de redes seguras de Internet. OpenSSL más comúnmente utiliza certificados X.509. | + | 3.-Instalación de la aplicación Hotspot Shield |
| - | ===== Instalación ===== | + | 4.- Se recomienda no instalar la barra de herramientas (es adware) |
| + | 5.- La instalación crea los adaptadores para crear el túnel de la VPN | ||
| + | 6.- Vista de la tabla de rutas después de la instalación, que ha modificado las rutas | ||
| - | Software relacionado con SSL: | + | 7.- Ejecución de tracert después de la instalación:el tercer salto es anchorfree (fabricante de Hotspot Shield) |
| + | * Con el servicio activado, se puede navegar libremente, pero protegido | ||
| - | apt-cache search libssl | grep SSL | + | 8.- Desde el icono de la barra de tareas podemos activar/desactivar el túnel, lo que modificará la tabla de rutas |
| - | ca-certificates | ||
| - | |||
| - | libssl-dev sirve para desarrollar con ssl | ||
| - | |||
| - | ===== Creacion ===== | ||
| - | |||
| - | **Certificados SSL** | ||
| - | |||
| - | Vamos a intentan entender los conceptos implicados en la generación y uso de certificados SSL, tanto de la variedad autofirmada, como aquellos firmados por una autoridad de certificación reconocida para su uso con una aplicación de servidor que admita SSL y el uso de X. 509 certificados en aplicaciones cliente. | ||
| - | |||
| - | |||
| - | **Certificados SSL para el uso del servidor** | ||
| - | |||
| - | Una vez que haya generado correctamente un certificado SSL compatible con X.509, puede optar por firmar el certificado por uno mismo, generando una Autoridad de Certificación (CA) o puede optar por que una Autoridad de Certificación globalmente reconocida firme el certificado. | ||
| - | |||
| - | Cuando el certificado está firmado, entonces está listo para ser utilizado con el kit de herramientas de OpenSSL para permitir conexiones SSL cifradas a un protocolo LDAP o HTTP, por ejemplo. | ||
| - | |||
| - | vamos a describir la generación de certificados y el proceso de firma para los certificados firmados por CA y firmados por CA. | ||
| - | |||
| - | **Generación y firma de certificados auto-firmados** | ||
| - | |||
| - | Los certificados autofirmados tienen una gran ventaja en cuanto a que son completamente gratuitos y pueden generarse, firmarse y utilizarse según sea necesario. Los certificados autofirmados son ideales para su uso en entornos de laboratorio cerrado o para fines de prueba. | ||
| - | |||
| - | Uno de los inconvenientes del uso de certificados autofirmados, es que normalmente se publica por el navegador Web y las aplicaciones las aplicaciones cliente (por ejemplo, Firefox) sacarán advertencias de abandonar la pagina por no ser segura, y sólo suprimirán dichas advertencias si los certificados que se firman utilizando una entidad de certificación reconocida y confiable a nivel mundial. | ||
| - | |||
| - | El uso de certificados autofirmados en un entorno de producción accesible al público no se recomienda debido a los problemas implícitos de confianza derivados de estas advertencias, además de la posible confusión causada a los usuarios. | ||
| - | |||
| - | |||
| - | **Creación de la autoridad de certificación** | ||
| - | |||
| - | En primer lugar, se crea un entorno de trabajo inicial, por ejemplo, dentro de su directorio principal, escribiendo el siguiente comando desde el terminal: | ||
| - | |||
| - | cd && mkdir -p myCA / signedcerts && mkdir myCA / private && cd myCA | ||
| - | |||
| - | El comando anterior lo colocará en un subdirectorio recién creado de su directorio home llamado myCA, y dentro de este subdirectorio, debería tener dos subdirectorios adicionales denominados signedcerts y private. | ||
| - | |||
| - | Dentro de este entorno de trabajo inicial, la significación de los subdirectorios y su contenido es la siguiente: | ||
| - | |||
| - | ~ / myCA: contiene el certificado de CA, la base de datos de certificados, los certificados generados, las claves y las solicitudes | ||
| - | ~ / myCA / signedcerts: contiene copias de cada certificado firmado | ||
| - | ~ / myCA / private: contiene la clave privada | ||
| - | | ||
| - | A continuación, creamos una base de datos de certificados inicial en el subdirectorio~ / myCA con el siguiente comando: | ||
| - | |||
| - | echo '01'> serial && touch index.txt | ||
| - | | ||
| - | Creamos el fichero de configuración ~/myCA/caconfig.cnf que a continuación pongo con las opciones por defecto de la CA | ||
| - | |||
| - | # My sample caconfig.cnf file. | ||
| - | # | ||
| - | # Default configuration to use when one is not provided on the command line. | ||
| - | # | ||
| - | [ ca ] | ||
| - | default_ca = local_ca | ||
| - | # | ||
| - | # | ||
| - | # Default location of directories and files needed to generate certificates. | ||
| - | # | ||
| - | [ local_ca ] | ||
| - | dir = /home/<username>/myCA | ||
| - | certificate = $dir/cacert.pem | ||
| - | database = $dir/index.txt | ||
| - | new_certs_dir = $dir/signedcerts | ||
| - | private_key = $dir/private/cakey.pem | ||
| - | serial = $dir/serial | ||
| - | # | ||
| - | # | ||
| - | # Default expiration and encryption policies for certificates. | ||
| - | # | ||
| - | default_crl_days = 365 | ||
| - | default_days = 1825 | ||
| - | default_md = md5 | ||
| - | # | ||
| - | policy = local_ca_policy | ||
| - | x509_extensions = local_ca_extensions | ||
| - | # | ||
| - | # | ||
| - | # Default policy to use when generating server certificates. The following | ||
| - | # fields must be defined in the server certificate. | ||
| - | # | ||
| - | [ local_ca_policy ] | ||
| - | commonName = supplied | ||
| - | stateOrProvinceName = supplied | ||
| - | countryName = supplied | ||
| - | emailAddress = supplied | ||
| - | organizationName = supplied | ||
| - | organizationalUnitName = supplied | ||
| - | # | ||
| - | # | ||
| - | # x509 extensions to use when generating server certificates. | ||
| - | # | ||
| - | [ local_ca_extensions ] | ||
| - | subjectAltName = DNS:alt.tradeshowhell.com | ||
| - | basicConstraints = CA:false | ||
| - | nsCertType = server | ||
| - | # | ||
| - | # | ||
| - | # The default root certificate generation policy. | ||
| - | # | ||
| - | [ req ] | ||
| - | default_bits = 2048 | ||
| - | default_keyfile = /home/<username>/myCA/private/cakey.pem | ||
| - | default_md = md5 | ||
| - | # | ||
| - | prompt = no | ||
| - | distinguished_name = root_ca_distinguished_name | ||
| - | x509_extensions = root_ca_extensions | ||
| - | # | ||
| - | # | ||
| - | # Root Certificate Authority distinguished name. Change these fields to match | ||
| - | # your local environment! | ||
| - | # | ||
| - | [ root_ca_distinguished_name ] | ||
| - | commonName = MyOwn Root Certificate Authority | ||
| - | stateOrProvinceName = NC | ||
| - | countryName = US | ||
| - | emailAddress = root@tradeshowhell.com | ||
| - | organizationName = Trade Show Hell | ||
| - | organizationalUnitName = IT Department | ||
| - | # | ||
| - | [ root_ca_extensions ] | ||
| - | basicConstraints = CA:true | ||
| - | |||
| - | |||
| - | IMPORTANTE: Tenemos que ajustar los detalles específicos del sitio en el archivo, como las dos instrucciones de | ||
| - | |||
| - | / home / <nombre_usuario> /... en [local_ca] y [req]. | ||
| - | |||
| - | También hay que cambiar commonName, stateOrProvinceName countryName, etc. en [ root_ca_distinguished_name ] para personalizar el entorno. | ||
| - | |||
| - | Una vez editado el archivo modificado con nuestro entorno, lo tenemos que guardar como ~ / myCA / caconfig.cnf. | ||
| - | |||
| - | A continuación, se debe generar el certificado raíz de la entidad emisora de certificados y la clave, para ello, tenemos que escribir los siguientes comandos: | ||
| - | |||
| - | Primero, hay que escribir: | ||
| - | |||
| - | export OPENSSL_CONF=~/myCA/caconfig.cnf | ||
| - | |||
| - | Este comando establece una variable de entorno, OPENSSL_CONF, que obliga a la herramienta openssl a buscar un archivo de configuración en una ubicación determinada (en este caso, ~/myCA/caconfig.cnf). | ||
| - | |||
| - | ===== generar ===== | ||
| - | **Generación del certificado de la CA y de su clave privada** | ||
| - | |||
| - | Ahora, generamos el certificado y la clave de la CA con el siguiente comando: | ||
| - | |||
| - | openssl req -x509 -nuevo rsa: 2048 -out cacert.pem -outform PEM-días 1825 | ||
| - | |||
| - | Nos pedirá una frase de contraseña (passphrase) y veremos una salida similar a la siguiente: | ||
| - | |||
| - | Generating a 2048 bit RSA private key .................................+++ | ||
| - | .................................................................................................+++ | ||
| - | writing new private key to '/home/bshumate/myCA/private/cakey.pem' | ||
| - | Enter PEM pass phrase: | ||
| - | Verifying - Enter PEM pass phrase: | ||
| - | ----- | ||
| - | |||
| - | **IMPORTANTE** NO OLVIDAR LA CONTRASEÑA USADA ¡¡¡ La necesitaremos cada vez que deseemos generar y firmar un nuevo certificado de servidor o cliente | ||
sad/t2/p1.1506585052.txt.gz · Última modificación: 2019/01/04 13:18 (editor externo)
Herramientas de la página
Excepto donde se indique lo contrario, el contenido de este wiki esta bajo la siguiente licencia: CC Attribution-Share Alike 4.0 International
