PDF de programación - Diseño de un esquema de seguridad basado en DNSSEC

Universidad de Buenos Aires

Facultades de Ciencias Económicas,

Ciencias Exactas y Naturales e Ingeniería



Maestría

en

Seguridad Informática





Confidencialidad del correo electrónico



Diseño de un esquema de seguridad basado en

DNSSEC



Autor: Ing. Gustavo Luis Nakasone

Tutor: Dr. Hugo Scolnik



Año 2012

Cohorte 2010



Maestría en Seguridad Informática 2012








Declaración Jurada de origen de los contenidos.




Por medio de la presente, el autor manifiesta conocer y aceptar el
Reglamento de Tesis vigente y que se hace responsable que la totalidad de
los contenidos del presente documento son originales y de su creación
exclusiva, o bien pertenecen a terceros u otras fuentes, que han sido
adecuadamente referenciados y cuya inclusión no infringe la legislación
Nacional e Internacional de Propiedad Intelectual.






FIRMADO


Gustavo Luis Nakasone
DNI 23.811.862







1


Maestría en Seguridad Informática 2012







Resumen.


El objetivo de la presente tesis es proponer el diseño de un esquema

de seguridad que proteja

la confidencialidad de

la correspondencia

electrónica. El mismo se fundamenta en el uso de certificados digitales

accesibles a través de un servicio basado en DNSSEC y en la introducción

de una serie de mecanismos que permitan extender sus beneficios al

usuario común (con conocimientos básicos en informática).



Palabras claves.


Correo electrónico - Confidencialidad - Certificados digitales - DNSSEC









2


Maestría en Seguridad Informática 2012








Tabla de contenido



1 . Introducción. ....................................................................................................................... 7

1.1. Planteo del problema. ................................................................................................... 7

1.2. Estado actual. ................................................................................................................ 9

1.3. Una primera aproximación a la solución. ..................................................................... 9

1.4. Hipótesis...................................................................................................................... 11

1.5. Objetivos. .................................................................................................................... 11

1.5.1. General. ................................................................................................................ 11

1.5.2. Específicos o particulares. .................................................................................... 11

1.6. Alcances y limitaciones de la propuesta. .................................................................... 12

1.7. Metodología y plan de actividades. ............................................................................ 12

2. Procurando confidencialidad. ............................................................................................ 14

2.1. Claves públicas y privadas. .......................................................................................... 14

2.2. Public Key Infrastructure. ............................................................................................ 14

2.3. Protección de la correspondencia electrónica. ........................................................... 16

3. Accediendo a los certificados digitales. ............................................................................. 17

3.1. DNS. ............................................................................................................................. 17

3.2. Extensiones de seguridad. .......................................................................................... 17

3.3. Resolución de nombres bajo DNSSEC. ........................................................................ 19

4. Esquema de seguridad. ...................................................................................................... 25

4.1. Introducción. ............................................................................................................... 25

4.2. Asegurando la confidencialidad. ................................................................................. 27

4.2.1. Emisión. ................................................................................................................ 27

4.2.2. Tránsito por internet. ........................................................................................... 31

4.2.3. Recepción / despacho. ......................................................................................... 31

4.2.4. Respaldo. .............................................................................................................. 33

4.3. Firma corporativa. ....................................................................................................... 33

5. Servicio de publicación de certificados. ............................................................................. 35

5.1. Requerimientos. .......................................................................................................... 35

5.2. El servicio. ................................................................................................................... 35



3


Maestría en Seguridad Informática 2012



5.2.1. DNSSEC. ................................................................................................................ 36

5.2.2. LDAP. .................................................................................................................... 36

6. Servicio de cifrado. ............................................................................................................. 38

6.1. Introducción. ............................................................................................................... 38

6.2. Requerimientos funcionales. ...................................................................................... 39

6.3. El servicio. ................................................................................................................... 39

7. Prueba de concepto. .......................................................................................................... 41

7.1. Software utilizado. ...................................................................................................... 41

7.2. Software adicional. ..................................................................................................... 42

7.3. La maqueta. ................................................................................................................ 42

7.4. Resumen de las tareas completadas. ......................................................................... 45

7.5. Resultado de las pruebas. ........................................................................................... 47

7.5.1. Firma corporativa. ................................................................................................ 47

8. Conclusiones finales. .......................................................................................................... 49

ANEXO I - Prueba de concepto: El servidor de cifrado. ........................................................ 51

A. Lenguaje de programación. ........................................................................................... 51

B. Módulos utilizados. ........................................................................................................ 51

C. Script. ............................................................................................................................. 52

ANEXO II – Prueba de concepto: Instalación y configuración de servicios. ........................... 53

A. Servicio LDAP (OpenLDAP). ............................................................................................ 53

A.1. Instalación. .............................................................................................................. 53

A.2. Configuración. ......................................................................................................... 53

A.3. Comandos utilizados. .............................................................................................. 54

A.4. Creación de las entradas. ....................................................................................... 54

B. Arquitectura PKI (OpenSSL). .......................................................................................... 55

B.1. Instalación. .............................................................................................................. 55

B.2. Creación de las CA. .................................................................................................. 55

B.3. Observaciones. ........................................................................................................ 56

C. Servicio DNSSEC (Bind)................................................................................................... 57

C.1. Instalación. .............................................................................................................. 57

C.2. Configuración. ......................................................................................................... 58

C.3. Generación de zonas. .............................................................................................. 58

C.4. Generación de claves. .........................