Show simple item record

dc.contributor.authorHoz de la Hoz, Enrique de la 
dc.contributor.authorCochrane, Gary
dc.contributor.authorMoreira-Lemus, Jose Manuel
dc.contributor.authorPaez-Reyes, Rafael
dc.contributor.authorMarsá Maestre, Iván 
dc.contributor.authorAlarcos Alcázar, Bernardo 
dc.date.accessioned2016-10-13T11:38:06Z
dc.date.available2016-10-13T11:38:06Z
dc.date.issued2014-10-07
dc.identifier.bibliographicCitationE. de la Hoz, G. Cochrane, J. M. Moreira-Lemus, R. Paez-Reyes, I. Marsa-Maestre, and B. Alarcos, “Detecting and defeating advanced man-in-the-middle attacks against TLS,” in Cyber Conflict (CyCon 2014), 2014 6th International Conference On, 2014, pp. 209–221.es_ES
dc.identifier.issn2325-5366
dc.identifier.urihttp://hdl.handle.net/10017/26443
dc.descriptionSobre los derechos de acceso: Permission to make digital or hard copies of this publication for internal use within NATO and for personal or educational use when for non-profi t or non-commercial purposes is granted providing that copies bear this notice and a full citation on the first page. Any other reproduction or transmission requires prior written permission by NATO CCD COE.en
dc.description.abstractTLS es un bloque esencial para la construcción de redes privadas. Un aspecto crítico para la seguridad de TLS es la autenticación y el intercambio de claves, que habitualmente se realiza mediante certificados. Un intercambio inseguro de claves puede conducir a un ataque de hombre en el medio (MITM). La confianza en los certificados se consigue habitualmente gracias a la utilización de una infraestructura de clave pública (PKI), que emplea autoridades de certificación (CA) de confianza para el establecimiento de cadenas de validez de certificados. En los últimos años, han surgido una serie de problemas relacionados con el uso del PKI: lo certificados pueden ser emitidos para cualquier entidad de Internet, con independencia de la posición de la CA en el árbol jerárquico. Esto implica que un ataque exitoso contra una CA tiene el potencial de permitir la generación de certificados válidos que posibilitarán la realización de ataques de hombre en el medio. No podemos descartar la posibilidad de usos malicioso de CA intermedias para llevar a cabo ataques dirigidos mediante la emisión de certificados ad-hoc, que serían extremadamente difíciles de detectar. La infraestructura PKI actual es susceptible a este tipo de ataques, por lo que se hace necesaria la creación de nuevos mecanismos para la detección y neutralización de los mismos. El IETF y otros organismos de estandarización han lanzado distintas iniciativas para posibilitar la detección de certificados falsificados. La mayoría de estas iniciativas intentan solucionar los problemas existentes mantenimiento el modelo PKI y agregando la técnica de 'certificate pinning', que asocia certificados concretos a servidores. Estas técnicas tienen limitaciones significativas, como la necesidad de un proceso de arranque seguro, o el establecimiento de la asociación para cada host de forma individual y uno por uno. Este trabajo proporciona una evolución desde el esquema de 'pinning' realizado en el host a un esquema de 'pinning' en la red, mediante la habilitación de mecanismos para la validación de certificados cuando atraviesan una red determinada. Los certificados se clasificarán como confiables o no como resultado del cruce de información obtenida de distintas fuentes. Esto resultaría en la detección temprana de certificados sospechosos y lanzaría mecanismos para rechazar el ataque, minimizar su impacto y recopilar información sobre los atacantes. Junto con lo anterior, se podría realizar un análisis más detallado y pormenorizado.es_ES
dc.description.abstractTLS is an essential building block for virtual private networks. A critical aspect for the security of TLS dialogs is authentication and key exchange, usually performed by means of certificates. An insecure key exchange can lead to a man-in-the-middle attack (MITM). Trust in certificates is generally achieved using Public Key Infrastructures (PKIs), which employ trusted certificate authorities (CAs) to establish certificate validity chains. In the last years, a number of security concerns regarding PKI usage have arisen: certificates can be issued for entities in the Internet, regardless of its position in the CA hierarchy tree. This means that successful attacks on CAs have the potential to generate valid certificates enabling man-in-the-middle attacks. The possibility of malicious use of intermediate CAs to perform targeted attacks through ad-hoc certificates cannot be neglected and are extremely difficult to detect. Current PKI infrastructure for TLS is prone to MITM attacks, and new mechanisms for detection and avoidance of those attacks are needed. IETF and other standardization bodies have launched several initiatives to enable the detection of “forged” certificates. Most of these initiatives attempt to solve the existing problems by maintaining the current PKI model and using certificate pinning, which associates certificates and servers on use. These techniques have significant limitations, such as the need of a secure bootstrap procedure, or pinning requiring some host-by-host basis. This study proposes an evolution from pinning-in-the-host to pinning-in-the-net, by enabling mechanisms to validate certificates as they travel through a given network. Certificates would be classified as trusted or not trusted as a result of cross-information obtained from different sources. This would result in early detection of suspicious certificates and would trigger mechanisms to defeat the attack; minimize its impact; and gather information on the attackers. Additionally, a more detailed and thorough analysis could be performed.en
dc.format.mimetypeapplication/pdfen
dc.language.isoengen
dc.publisherNATO CCD COEen
dc.rights© NATO CCD COE Publications, Tallinnen
dc.subjectCertificate-pinning schemesen
dc.subjectMITM attacks retaliationen
dc.subjectSDN (Software-defined networking)en
dc.subjectOpenFlowen
dc.titleDetecting and defeating advanced man-in-the-middle attacks against TLSen
dc.typeinfo:eu-repo/semantics/articleen
dc.subject.ecienciaAutomatizaciónes_ES
dc.subject.ecienciaAutomationen
dc.subject.ecienciaCIENCIAS TECNOLÓGICASes_ES
dc.subject.ecienciaTECHNOLOGYen
dc.contributor.affiliationUniversidad de Alcalá. Departamento de Automáticaes_ES
dc.relation.publisherversionhttp://dx.doi.org/10.1109/CYCON.2014.6916404
dc.type.versioninfo:eu-repo/semantics/publishedVersionen
dc.identifier.doi10.1109/CYCON.2014.6916404
dc.rights.accessRightsinfo:eu-repo/semantics/openAccessen


Files in this item

Thumbnail

This item appears in the following Collection(s)