3.- Seguridad Para Las Aplicaciones Web (Incluya cómputo móvil)
3 participantes
Página 1 de 1.
3.- Seguridad Para Las Aplicaciones Web (Incluya cómputo móvil)
por Admin Mar Mar 15, 2016 6:25 pm
Estimado estudiante de Ing. en Informática, participe en este Foro contestando al menos una pregunta o reactivo o enunciado:
1.- EXPLIQUE QUÉ ENTIENDE USTED POR Seguridad en Aplicaciones Web Y Protección de los sistemas Web
2.- EXPLIQUE QUÉ ENTIENDE USTED POR Protección de los servicios de Internet: Web, Correo, Gestores de bases de datos.
3.- EXPLIQUE QUÉ ENTIENDE USTED POR Certificados Digitales y Firmas Digitales (INCLUYA técnicas de implementación de firma electrónica y certificados digitales).
4.- EXPLIQUE USTED CÓMO PODRÍA Realizar una aplicación cliente-servidor empresarial que implemente mecanismos de seguridad de certificados digitales o firmas digitales o SSL o TSL o una integración de algunas de estas tecnologías (PUEDE INCLUIR EN SU EXPLICACIÓN, ASPECTOS DE InstalaCIÓN y configurar DE un Sistema de Detección de Intrusos, ASÍ como LA ImplementaCIÓN DE un Servidor de Autenticación que permita proteger los recursos de redes empresariales, como NIS y LDAP).
5.- MENCIONE CUÁLES SON LAS Principales amenazas a la seguridad de las aplicaciones Web
6.- EXPLIQUE CÓMO PODRÍA USTED GENERAR O Realizar una propuesta de solución integral para el soporte seguro de las aplicaciones Web (que dÉ seguridad en la comunicación de información de al menos una aplicación Web). EN SU EXPLICACIÓN DEBE Identificar las necesidades de las aplicaciones Web en cuanto a la seguridad que debe mantener para su ejecución en UNA red EXTERNA O Internet.
ATTE:
M.C. EDGAR RANGEL LUGO
Admin- Admin
- Mensajes : 349
Fecha de inscripción : 14/03/2012 -
1.- EXPLIQUE QUÉ ENTIENDE USTED POR Seguridad en Aplicaciones Web Y Protección de los sistemas Web
por ISELA DJMC Jue Abr 21, 2016 11:08 pm
1.- EXPLIQUE QUÉ ENTIENDE USTED POR Seguridad en Aplicaciones Web Y Protección de los sistemas Web
Existen muchas definiciones del término seguridad. Simplificando, y en general, podemos definir la seguridad como: "Característica que indica que un sistema esta libre de todo peligro, daño o riesgo." (Villalón)
Cuando hablamos de seguridad de la información estamos indicando que dicha información tiene una relevancia especial en un contexto determinado y que, por tanto, hay que proteger.
La Seguridad de la Información se puede definir como conjunto de medidas técnicas, organizativas y legales que permiten a la organización asegurar la confidencialidad, integridad y disponibilidad de su sistema de información.
Hasta la aparición y difusión del uso de los sistemas informáticos, toda la información de interés de una organización se guardaba en papel y se almacenaba en grandes cantidades de abultados archivadores. Datos de los clientes o proveedores de la organización, o de los empleados quedaban registrados en papel, con todos los problemas que luego acarreaba su almacenaje, transporte, acceso y procesado.
Los sistemas informáticos permiten la digitalización de todo este volumen de información reduciendo el espacio ocupado, pero, sobre todo, facilitando su análisis y procesado. Se gana en 'espacio', acceso, rapidez en el procesado de dicha información y mejoras en la presentación de dicha información.
Pero aparecen otros problemas ligados a esas facilidades. Si es mas fácil transportar la información también hay mas posibilidades de que desaparezca 'por el camino'. Si es mas fácil acceder a ella también es mas fácil modificar su contenido, etc.
Desde la aparición de los grandes sistemas aislados hasta nuestros días, en los que el trabajo en red es lo habitual, los problemas derivados de la seguridad de la información han ido también cambiando, evolucionando, pero están ahí y las soluciones han tenido que ir adaptándose a los nuevos requerimientos técnicos. Aumenta la sofisticación en el ataque y ello aumenta la complejidad de la solución, pero la esencia es la misma.
Existen también diferentes definiciones del término Seguridad Informática. De ellas nos quedamos con la definición ofrecida por el estándar para la seguridad de la información ISO/IEC 27001, que fue aprobado y publicado en octubre de 2005 por la International Organization for Standardization (ISO) y por la comisión International Electrotechnical Commission (IEC).
“La seguridad informática consiste en la implantación de un conjunto de medidas técnicas destinadas a preservar la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio.”
Como vemos el término seguridad de la información es mas amplio ya que engloba otros aspectos relacionados con la seguridad mas allá de los puramente tecnológicos.
Un SGSI siempre cumple cuatro niveles repetitivos que comienzan por Planificar y terminan en Actuar, consiguiendo así mejorar la seguridad.
PLANIFICAR (Plan): consiste en establecer el contexto en el se crean las políticas de seguridad, se hace el análisis de riesgos, se hace la selección de controles y el estado de aplicabilidad
HACER (Do): consiste en implementar el sistema de gestión de seguridad de la información, implementar el plan de riesgos e implementar los controles .
VERIFICAR (Check): consiste en monitorear las actividades y hacer auditorías internas.
ACTUAR (Act): consiste en ejecutar tareas de mantenimiento, propuestas de mejora, acciones preventivas y acciones correctivas.
En general, un sistema será seguro o fiable si podemos garantizar tres aspectos:
Confidencialidad: acceso a la información solo mediante autorización y de forma controlada.
Integridad: modificación de la información solo mediante autorización.
Disponibilidad: la información del sistema debe permanecer accesible mediante autorización.
seguridad de sistemas:
● Agente de amenaza (atacante).
● Vulnerabilidad.
● Ataque.
● Contramedida.
Fuente de información
1.-http://recursostic.educacion.es/observatorio/web/ca/software/software-general/1040-introduccion-a-la-seguridad-informatica?start=1
2.-http://es.slideshare.net/camposer/seguridad-web-40313501
EQUIPO
ANASTACIO MENDOZA JAIMES
IRENE PINEDA BARRIOS
ISELA DE JESÚS MARTINEZ CARACHURE
GUSTAVO ÁNGEL ALBARRÁN ARROYO
Existen muchas definiciones del término seguridad. Simplificando, y en general, podemos definir la seguridad como: "Característica que indica que un sistema esta libre de todo peligro, daño o riesgo." (Villalón)
Cuando hablamos de seguridad de la información estamos indicando que dicha información tiene una relevancia especial en un contexto determinado y que, por tanto, hay que proteger.
La Seguridad de la Información se puede definir como conjunto de medidas técnicas, organizativas y legales que permiten a la organización asegurar la confidencialidad, integridad y disponibilidad de su sistema de información.
Hasta la aparición y difusión del uso de los sistemas informáticos, toda la información de interés de una organización se guardaba en papel y se almacenaba en grandes cantidades de abultados archivadores. Datos de los clientes o proveedores de la organización, o de los empleados quedaban registrados en papel, con todos los problemas que luego acarreaba su almacenaje, transporte, acceso y procesado.
Los sistemas informáticos permiten la digitalización de todo este volumen de información reduciendo el espacio ocupado, pero, sobre todo, facilitando su análisis y procesado. Se gana en 'espacio', acceso, rapidez en el procesado de dicha información y mejoras en la presentación de dicha información.
Pero aparecen otros problemas ligados a esas facilidades. Si es mas fácil transportar la información también hay mas posibilidades de que desaparezca 'por el camino'. Si es mas fácil acceder a ella también es mas fácil modificar su contenido, etc.
Desde la aparición de los grandes sistemas aislados hasta nuestros días, en los que el trabajo en red es lo habitual, los problemas derivados de la seguridad de la información han ido también cambiando, evolucionando, pero están ahí y las soluciones han tenido que ir adaptándose a los nuevos requerimientos técnicos. Aumenta la sofisticación en el ataque y ello aumenta la complejidad de la solución, pero la esencia es la misma.
Existen también diferentes definiciones del término Seguridad Informática. De ellas nos quedamos con la definición ofrecida por el estándar para la seguridad de la información ISO/IEC 27001, que fue aprobado y publicado en octubre de 2005 por la International Organization for Standardization (ISO) y por la comisión International Electrotechnical Commission (IEC).
“La seguridad informática consiste en la implantación de un conjunto de medidas técnicas destinadas a preservar la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio.”
Como vemos el término seguridad de la información es mas amplio ya que engloba otros aspectos relacionados con la seguridad mas allá de los puramente tecnológicos.
Un SGSI siempre cumple cuatro niveles repetitivos que comienzan por Planificar y terminan en Actuar, consiguiendo así mejorar la seguridad.
PLANIFICAR (Plan): consiste en establecer el contexto en el se crean las políticas de seguridad, se hace el análisis de riesgos, se hace la selección de controles y el estado de aplicabilidad
HACER (Do): consiste en implementar el sistema de gestión de seguridad de la información, implementar el plan de riesgos e implementar los controles .
VERIFICAR (Check): consiste en monitorear las actividades y hacer auditorías internas.
ACTUAR (Act): consiste en ejecutar tareas de mantenimiento, propuestas de mejora, acciones preventivas y acciones correctivas.
En general, un sistema será seguro o fiable si podemos garantizar tres aspectos:
Confidencialidad: acceso a la información solo mediante autorización y de forma controlada.
Integridad: modificación de la información solo mediante autorización.
Disponibilidad: la información del sistema debe permanecer accesible mediante autorización.
seguridad de sistemas:
● Agente de amenaza (atacante).
● Vulnerabilidad.
● Ataque.
● Contramedida.
Fuente de información
1.-http://recursostic.educacion.es/observatorio/web/ca/software/software-general/1040-introduccion-a-la-seguridad-informatica?start=1
2.-http://es.slideshare.net/camposer/seguridad-web-40313501
EQUIPO
ANASTACIO MENDOZA JAIMES
IRENE PINEDA BARRIOS
ISELA DE JESÚS MARTINEZ CARACHURE
GUSTAVO ÁNGEL ALBARRÁN ARROYO
ISELA DJMC- Mensajes : 4
Fecha de inscripción : 18/02/2016
5.- MENCIONE CUÁLES SON LAS PRINCIPALES AMENAZAS A LA SEGURIDAD DE LAS APLICACIONES WEB.
por GLADIS MATURANA SANCHEZ Vie Abr 22, 2016 5:47 pm
5.- MENCIONE CUÁLES SON LASPRINCIPALES AMENAZAS A LA SEGURIDAD DE LAS APLICACIONES WEB.
Aplicaciones Web
Aplicaciones cliente/servidor que utilizan el protocolo HTTP para interactuar con los usuarios u otros sistemas
El cliente utilizado por los usuarios es habitualmente un navegador
Los problemas de seguridad pueden provenir de los programas web en los que se apoyan, aunque en su mayor parte son consecuencia de fallos en la lógica y el diseño de la propia aplicación
¿Cuánta seguridad es necesaria?
La seguridad supone un coste económico y de eficiencia. Hay que disponer de la adecuada, ni más ni menos
Para ello hay que tener en cuenta tres reglas:
El riesgo cero no es práctico
Hay diversas formas de mitigar el riesgo
No se puede gastar un millón para proteger un céntimo
Amenazas más importantes:
“Top Ten” de amenazas
Entrada no validada
Control de acceso roto
Administración de sesión y autentificación rota
Fallos de Cross Site Scripting (XSS)
Desbordamiento del buffer
Fallos de inyección
Manejo inadecuado de errores
Almacenamiento inseguro
Negación de servicio
Administración de configuración insegura
Control de acceso roto
Administración de sesión y autentificación rota
Fallos de Cross Site Scripting (XSS)
Desbordamiento del buffer
Fallos de inyección
Manejo inadecuado de errores
Almacenamiento inseguro
Negación de servicio
Administración de configuración insegura
Guías de seguridad
Es conveniente tener en cuenta unos principios de alto nivel al diseñar aplicaciones web:
Validar la entrada y la salida
Fallar con seguridad
Mantener un esquema de seguridad simple
Utilizar componentes de confianza
La seguridad a través de la oscuridad no funciona
Mantener los privilegios al mínimo y separados
TIPOS DE SEGURIDAD:
- Seguridad en el Cliente
Seguridad en el Servidor
Seguridad en la Aplicación
Seguridad en la Comunicación
Seguridad en el Cliente
- Código móvil
Lenguajes de Macro: VBA
JavaScript
VBScript
Applets Java
Controles ActiveX
Código móvil
Código que circula por la red y se ejecuta en una máquina remota
Aparece incrustado en un documento HTML. Un cliente de correo o un navegador que carguen el documento lo ejecutarán en la máquina cliente
Potencia la funcionalidad de los documentos HTML pero entraña riesgos de seguridad. Un código móvil puede obtener información acerca de un sistema o un usuario y enviarla a una máquina remota
Aparece incrustado en un documento HTML. Un cliente de correo o un navegador que carguen el documento lo ejecutarán en la máquina cliente
Potencia la funcionalidad de los documentos HTML pero entraña riesgos de seguridad. Un código móvil puede obtener información acerca de un sistema o un usuario y enviarla a una máquina remota
Puede estar incrustado directamente en el documento, caso de los lenguajes de script como JavaScript y VBScript
También puede residir en un servidor y ser invocado mediante una referencia en el documento, caso de las applets de Java o los controles ActiveX
El código ActiveX suele permanecer en el sistema una vez que se instala, mientras que las applets de Java se ejecutan una sóla vez y no se almacenan en la máquina del usuario
Hay cuatro tipos básicos de código móvil:
Lenguajes de macro como Visual Basic for Applications (VBA)
Lenguajes de Macro: VBA
Es un lenguaje de macro propio de Microsoft Office, aunque otras aplicaciones lo han adoptado
Permite el acceso a todas las funciones de la aplicación, incluyendo el acceso a disco
La macro está incrustada en el documento
Las versiones previas a Office 97 ejecutaban las macros al abrir los documentos sin pedir autorización al usuario. Una macro podía contener un virus y causar grandes perjuicios
Al ejecutarse podría copiarse en la plantilla normal, con lo que aparecería en cualquier documento creado con la aplicación y se expandiría al compartirse los documentos
Ejemplo: Melissa (1999), creado con VBA en un documento Word. Se reenviaba a los primeros 50 contactos de Outlook
Para protegerse de los virus de macro hay que tener mucha precaución al permitir la ejecución de macros en un documento. Sólo debe hacerse cuando la fuente de procedencia del documento sea fiable
Controles ActiveX
El problema se da cuando un control está mal construido, proporcionando agujeros de seguridad a los atacantes
Un problema habitual en algunos controles es el buffer overrun, padecido por ejemplo por el control de Adobe Acrobat Reader 4.0 y que permite la ejecución de código arbitrario en la máquina del usuario
Cuando se construye un control ActiveX que puede realizar tareas potencialmente peligrosas (como leer o escribir en disco) hay que tener la precaución de marcarlo como unsafe for scripting para que no pueda ser llamado desde VBScript
Seguridad en el Servidor
El desarrollo de una aplicación web requiere de una serie de herramientas: servidores web, servidores de aplicaciones, servidores de bases de datos, lenguajes de servidor, etc.
Estas herramientas pueden plantear problemas que comprometan a la aplicación:
Vulnerabilidades debidas al uso de versiones no actualizadas
Configuraciones por defecto inadecuadas
Activación de cuentas por defecto
Las herramientas deben estar actualizadas y bien configuradas para impedir ataques a la aplicación
Servidor Web
Proporciona muchos servicios y es muy probable que algunos de ellos no sean necesarios para el funcionamiento de la aplicación web
En tal caso es conveniente deshabilitarlos
Para ello el servidor dispone de múltiples opciones de configuración que es conveniente adaptar a las circunstancias concretas de la aplicación web
Servidor Web
Servidor Web
Precauciones a tener en cuenta (cont):
Ejecución de CGI. Sólo debe permitirse a usuarios de confianza y restringirlo a un directorio especial
Server side includes (SSI). Es una fuente de peligro y puede tener que ser restringido a usuarios de confianza o deshabilitado (en particular la opción ‘exec’). Ejemplo:
... código HTML
<!--#exec cgi=”/cgi-bin/cabecera.cgi” -->
... código HTML
Seguridad en la Aplicación.
Autentificación
Autentificación HTTP básica
Cuando se requiere una URI protegida, el servidor web devuelve un código “HTTP/1.1 401 Authorization required”, indicando al cliente que muestre una ventana de diálogo con un nombre de usuario y una contraseña
Cuando se pulsa el botón de envío estos datos llegan al servidor que comprueba si son correctos y en caso afirmativo sirve el recurso solicitado
Passwords
Siempre que se utilizan passwords para autentificar usuarios hay que seguir unas recomendaciones:
Restringir los valores para los nombres de usuarios. Los que representan nombres reales suponen dar pistas a los atacantes
Almacenar los passwords de forma segura, protegiendo el acceso a la base de datos
Seguir reglas de seguridad para su elección
Bloquear una cuenta cuando se detecta un número determinado de intentos de acceso incorrectos
Actualizar los passwords periódicamente y mantener un histórico para evitar repeticiones
Cualquier sistema que requiera autentificación debe tener una política de recuperación de passwords en caso de olvido del usuario
Esto se puede hacer de dos formas:
Automáticamente
A través de técnicos de soporte.
Sesiones
Una vez que el usuario se ha autentificado introduciendo su nombre de usuario y su clave, es preciso mantener esta autentificación en cada conexión subsiguiente
Para evitar tener que mostrar nuevamente la ventana de autentificación se recurre habitualmente al uso de sesiones, un mecanismo que permite mantener el estado entre diferentes peticiones HTTP
Programación segura
Para evitar o al menos disminuir las vulnerabilidades de una aplicación web es muy importante seguir unas correctas prácticas de programación. Veamos algunas de las más importantes:
Inicialización de variables
Gestión de errores
Protección de información
Seguridad en la Comunicación
SSL
SSL (Secure Socket Layer) es un protocolo para asegurar el transporte de datos entre el cliente y el servidor web. Diseñado inicialmente por Netscape, hoy día es soportado por la mayoría de los servidores web
Podemos reconocer una conexión HTTP sobre SSL porque aparece el prefijo ‘https’ en lugar de ‘http’ en la URL
La versión actual de SSL es la 3 y a partir de ella se está desarrollando un protocolo público por parte del Internet Engineering Task Force (IETF), que se conoce como TLS (Transport Layer Security) y es compatible con SSL
SSL no es un protocolo simple sino que tiene dos niveles de protocolos
El protocolo Record proporciona servicios de seguridad básica a varios protocolos de nivel más alto, entre ellos HTTP
SSL proporciona una comunicación segura entre cliente y servidor permitiendo la autentificación mutua, el uso de firmas digitales y garantizando la privacidad mediante encriptación. Una sesión SSL se establece según una secuencia de operaciones
BIBLIOGRAFIA:También puede residir en un servidor y ser invocado mediante una referencia en el documento, caso de las applets de Java o los controles ActiveX
El código ActiveX suele permanecer en el sistema una vez que se instala, mientras que las applets de Java se ejecutan una sóla vez y no se almacenan en la máquina del usuario
Hay cuatro tipos básicos de código móvil:
Lenguajes de macro como Visual Basic for Applications (VBA)
- Scripts como JavaScript y VBScript
Applets de Java
Controles ActiveX
Un método de protección común es tener siempre actualizado el software
Lenguajes de Macro: VBA
Es un lenguaje de macro propio de Microsoft Office, aunque otras aplicaciones lo han adoptado
Permite el acceso a todas las funciones de la aplicación, incluyendo el acceso a disco
La macro está incrustada en el documento
Las versiones previas a Office 97 ejecutaban las macros al abrir los documentos sin pedir autorización al usuario. Una macro podía contener un virus y causar grandes perjuicios
Al ejecutarse podría copiarse en la plantilla normal, con lo que aparecería en cualquier documento creado con la aplicación y se expandiría al compartirse los documentos
Ejemplo: Melissa (1999), creado con VBA en un documento Word. Se reenviaba a los primeros 50 contactos de Outlook
Para protegerse de los virus de macro hay que tener mucha precaución al permitir la ejecución de macros en un documento. Sólo debe hacerse cuando la fuente de procedencia del documento sea fiable
Controles ActiveX
El problema se da cuando un control está mal construido, proporcionando agujeros de seguridad a los atacantes
Un problema habitual en algunos controles es el buffer overrun, padecido por ejemplo por el control de Adobe Acrobat Reader 4.0 y que permite la ejecución de código arbitrario en la máquina del usuario
Cuando se construye un control ActiveX que puede realizar tareas potencialmente peligrosas (como leer o escribir en disco) hay que tener la precaución de marcarlo como unsafe for scripting para que no pueda ser llamado desde VBScript
Seguridad en el Servidor
El desarrollo de una aplicación web requiere de una serie de herramientas: servidores web, servidores de aplicaciones, servidores de bases de datos, lenguajes de servidor, etc.
Estas herramientas pueden plantear problemas que comprometan a la aplicación:
Vulnerabilidades debidas al uso de versiones no actualizadas
Configuraciones por defecto inadecuadas
Activación de cuentas por defecto
Las herramientas deben estar actualizadas y bien configuradas para impedir ataques a la aplicación
Servidor Web
Proporciona muchos servicios y es muy probable que algunos de ellos no sean necesarios para el funcionamiento de la aplicación web
En tal caso es conveniente deshabilitarlos
Para ello el servidor dispone de múltiples opciones de configuración que es conveniente adaptar a las circunstancias concretas de la aplicación web
Servidor Web
- Precauciones a tener en cuenta:
Establecer permisos adecuados para los ficheros del servidor y los documentos. Es conveniente definir un usuario y grupo especiales (web, www)
Listado automático de directorios. Puede ser conveniente pero proporciona información sensible
Seguimiento de enlaces simbólicos. Peligroso si se enlazan ficheros externos al árbol de documentos
Servidor Web
Precauciones a tener en cuenta (cont):
Ejecución de CGI. Sólo debe permitirse a usuarios de confianza y restringirlo a un directorio especial
Server side includes (SSI). Es una fuente de peligro y puede tener que ser restringido a usuarios de confianza o deshabilitado (en particular la opción ‘exec’). Ejemplo:
... código HTML
<!--#exec cgi=”/cgi-bin/cabecera.cgi” -->
... código HTML
Seguridad en la Aplicación.
- Control de acceso
Validación de datos de entrada
Programación segura
- Control de acceso
Un aspecto muy importante de una aplicación web es el control de acceso de los usuarios a zonas restringidas de la aplicación
Aquí intervienen dos conceptos:
Autentificación
Autorización
Autentificación
- Es el proceso de determinar si un usuario es quien dice ser
Esto se puede hacer de varias maneras. Algunas de ellas son:
Autentificación HTTP básica
Autentificación basada en la aplicación
Autentificación HTTP básica
Cuando se requiere una URI protegida, el servidor web devuelve un código “HTTP/1.1 401 Authorization required”, indicando al cliente que muestre una ventana de diálogo con un nombre de usuario y una contraseña
Cuando se pulsa el botón de envío estos datos llegan al servidor que comprueba si son correctos y en caso afirmativo sirve el recurso solicitado
Passwords
Siempre que se utilizan passwords para autentificar usuarios hay que seguir unas recomendaciones:
Restringir los valores para los nombres de usuarios. Los que representan nombres reales suponen dar pistas a los atacantes
Almacenar los passwords de forma segura, protegiendo el acceso a la base de datos
Seguir reglas de seguridad para su elección
Bloquear una cuenta cuando se detecta un número determinado de intentos de acceso incorrectos
Actualizar los passwords periódicamente y mantener un histórico para evitar repeticiones
Cualquier sistema que requiera autentificación debe tener una política de recuperación de passwords en caso de olvido del usuario
Esto se puede hacer de dos formas:
Automáticamente
A través de técnicos de soporte.
Sesiones
Una vez que el usuario se ha autentificado introduciendo su nombre de usuario y su clave, es preciso mantener esta autentificación en cada conexión subsiguiente
Para evitar tener que mostrar nuevamente la ventana de autentificación se recurre habitualmente al uso de sesiones, un mecanismo que permite mantener el estado entre diferentes peticiones HTTP
Programación segura
Para evitar o al menos disminuir las vulnerabilidades de una aplicación web es muy importante seguir unas correctas prácticas de programación. Veamos algunas de las más importantes:
Inicialización de variables
Gestión de errores
Protección de información
Seguridad en la Comunicación
SSL
SSL (Secure Socket Layer) es un protocolo para asegurar el transporte de datos entre el cliente y el servidor web. Diseñado inicialmente por Netscape, hoy día es soportado por la mayoría de los servidores web
Podemos reconocer una conexión HTTP sobre SSL porque aparece el prefijo ‘https’ en lugar de ‘http’ en la URL
La versión actual de SSL es la 3 y a partir de ella se está desarrollando un protocolo público por parte del Internet Engineering Task Force (IETF), que se conoce como TLS (Transport Layer Security) y es compatible con SSL
SSL no es un protocolo simple sino que tiene dos niveles de protocolos
El protocolo Record proporciona servicios de seguridad básica a varios protocolos de nivel más alto, entre ellos HTTP
SSL proporciona una comunicación segura entre cliente y servidor permitiendo la autentificación mutua, el uso de firmas digitales y garantizando la privacidad mediante encriptación. Una sesión SSL se establece según una secuencia de operaciones
https://www.rediris.es/cert/doc/reuniones/fs2008/archivo/RedIRIS_VI_Seguridad_en_aplicaciones_Web_v1.0_RaulSiles.pdf
https://msdn.microsoft.com/es-es/library/zdh19h94(v=vs.100).aspx
http://es.slideshare.net/aretche/seguridad-de-aplicaciones-web-presentation
https://msdn.microsoft.com/es-mx/library/ft0y04t6(v=vs.80).aspx
EQUIPO: GLADIS MATURANA SANCHEZ
SALVADOR REYES VILLA.
GLADIS MATURANA SANCHEZ- Mensajes : 3
Fecha de inscripción : 06/02/2014
replica del foro
por jesustorsan9 Miér Abr 27, 2016 7:48 pm
Certificados Digitales y Firmas Digitales (INCLUYA técnicas de implementación de firma electrónica y certificados digitales).
firma digital
Una firma digital es un sello de autenticación electrónico cifrado en información digital, como mensajes de correo, macros o documentos electrónicos. La firma constata que la información proviene del firmante y no se ha modificado.
Certificados Digitales
Para crear una firma digital, necesita un certificado de firma, que es prueba de identidad. Cuando envía una macro o un documento firmados digitalmente, también envía su certificado y su clave pública. Los certificados son emitidos por una entidad emisora de certificados y, al igual que una licencia de conducir, pueden ser revocados. Normalmente, un certificado es válido durante un año, al término del cual, el firmante debe renovarlo u obtener un nuevo certificado de firma para establecer su identidad.
NOTA: Puede obtener más información acerca de las claves públicas y privadas en este artículo.Entidad emisora de certificados Una entidad emisora de certificados es una entidad similar a un notario público. Emite certificados digitales, firma certificados para comprobar su validez y realiza un seguimiento de qué certificados se han revocado o han caducado.
equipo
jesus torres sanchez
carla camacho barrera
karla santos castro
yanet cabrera terrones
giovany duarte toledo
jesustorsan9- Invitado
Certificados Digitales y Firmas Digitales
por luislaar Mar Mayo 03, 2016 6:36 pm
El Certificado Digital es el único medio que permite garantizar técnica y legalmente la identidad de una persona en Internet. Se trata de un requisito indispensable para que las instituciones puedan ofrecer servicios seguros a través de Internet. Además:
El certificado digital permite la firma electrónica de documentos El receptor de un documento firmado puede tener la seguridad de que éste es el original y no ha sido manipulado y el autor de la firma electrónica no podrá negar la autoría de esta firma.
El certificado digital permitecifrar las comunicaciones. Solamente el destinatario de la información podrá acceder al contenido de la misma.
En definitiva, la principal ventaja es que disponer de un certificado le ahorrará tiempo y dinero al realizar trámites administrativos en Internet, a cualquier hora y desde cualquier lugar.
Un Certificado Digital consta de una pareja de claves criptográficas, una pública y una privada, creadas con un algoritmo matemático, de forma que aquello que se cifra con una de las claves sólo se puede descifrar con su clave pareja.
El titular del certificado debe mantener bajo su poder la clave privada, ya que si ésta es sustraída, el sustractor podría suplantar la identidad del titular en la red. En este caso el titular debe revocar el certificado lo antes posible, igual que se anula una tarjeta de crédito sustraída.
La clave pública forma parte de lo que se denomina Certificado Digital en sí, que es un documento digital que contiene la clave pública junto con los datos del titular, todo ello firmado electrónicamente por una Autoridad de Certificación, que es una tercera entidad de confianza que asegura que la clave pública se corresponde con los datos del titular.
La firma digital es una herramienta tecnológica que permite garantizar la autoría e integridad de los documentos digitales, posibilitando que éstos gocen de una característica que únicamente era propia de los documentos en papel. De acuerdo a la Ley 8454 lla firma digital emitida por una autoridad certificadora registrada tiene la equivalencia jurídica de una firma manuscrita.
La firma digital funciona utilizando complejos procedimientos matemáticos que relacionan el documento firmado con información propia del firmante, y permiten que terceras partes puedan reconocer la identidad del firmante y asegurarse de que los contenidos no han sido modificados.
El firmante genera, mediante una función matemática, una huella digital del mensaje, la cual se cifra con la clave privada del firmante. El resultado es lo que se denomina firma digital, que se enviará adjunta al mensaje original. De esta manera el firmante adjuntará al documento una marca que es única para dicho documento y que sólo él es capaz de producir.
Para realizar la verificación del mensaje, en primer término el receptor generará la huella digital del mensaje recibido, luego descifrará la firma digital del mensaje utilizando la clave pública del firmante y obtendrá de esa forma la huella digital del mensaje original; si ambas huellas digitales coinciden, significa que no hubo alteración y que el firmante es quien dice serlo.
BIBLIOGRAFIASEl certificado digital permite la firma electrónica de documentos El receptor de un documento firmado puede tener la seguridad de que éste es el original y no ha sido manipulado y el autor de la firma electrónica no podrá negar la autoría de esta firma.
El certificado digital permitecifrar las comunicaciones. Solamente el destinatario de la información podrá acceder al contenido de la misma.
En definitiva, la principal ventaja es que disponer de un certificado le ahorrará tiempo y dinero al realizar trámites administrativos en Internet, a cualquier hora y desde cualquier lugar.
Un Certificado Digital consta de una pareja de claves criptográficas, una pública y una privada, creadas con un algoritmo matemático, de forma que aquello que se cifra con una de las claves sólo se puede descifrar con su clave pareja.
El titular del certificado debe mantener bajo su poder la clave privada, ya que si ésta es sustraída, el sustractor podría suplantar la identidad del titular en la red. En este caso el titular debe revocar el certificado lo antes posible, igual que se anula una tarjeta de crédito sustraída.
La clave pública forma parte de lo que se denomina Certificado Digital en sí, que es un documento digital que contiene la clave pública junto con los datos del titular, todo ello firmado electrónicamente por una Autoridad de Certificación, que es una tercera entidad de confianza que asegura que la clave pública se corresponde con los datos del titular.
La firma digital es una herramienta tecnológica que permite garantizar la autoría e integridad de los documentos digitales, posibilitando que éstos gocen de una característica que únicamente era propia de los documentos en papel. De acuerdo a la Ley 8454 lla firma digital emitida por una autoridad certificadora registrada tiene la equivalencia jurídica de una firma manuscrita.
La firma digital funciona utilizando complejos procedimientos matemáticos que relacionan el documento firmado con información propia del firmante, y permiten que terceras partes puedan reconocer la identidad del firmante y asegurarse de que los contenidos no han sido modificados.
El firmante genera, mediante una función matemática, una huella digital del mensaje, la cual se cifra con la clave privada del firmante. El resultado es lo que se denomina firma digital, que se enviará adjunta al mensaje original. De esta manera el firmante adjuntará al documento una marca que es única para dicho documento y que sólo él es capaz de producir.
Para realizar la verificación del mensaje, en primer término el receptor generará la huella digital del mensaje recibido, luego descifrará la firma digital del mensaje utilizando la clave pública del firmante y obtendrá de esa forma la huella digital del mensaje original; si ambas huellas digitales coinciden, significa que no hubo alteración y que el firmante es quien dice serlo.
http://www.firmadigital.go.cr/preguntas.html
http://www.upv.es/contenidos/CD/info/711545normalc.html
EQUIPO LOS PAYPAS:
JESSICA GABRIELA ORTUÑO FARFAN
JUANA ESTRADA JACOBO
PEDRO HILARIO CASTAÑEDA
FREDI ROJAS HIGUERA
LUIS ANTONIO ANTUNEZ RODRIGUEZ
luislaar- Invitado
TÉCNICAS DE IMPLEMENTACIÓN DE FIRMA ELECTRÓNICA Y CERTIFICADOS DIGITALES
por EZEQUIEL TORRES Jue Mayo 26, 2016 3:29 pm
TÉCNICAS DE IMPLEMENTACIÓN DE FIRMA ELECTRÓNICA Y CERTIFICADOS DIGITALES
FIRMA ELECTRÓNICA
El término firma electrónica implica el uso de cualquier medio electrónico para firmar un documento. Es este sentido, el simple escaneo de una firma autógrafa y su inserción como imagen en un documento digital puede considerarse como firma electrónica. Sin embargo, este tipo de firma electrónica no garantiza los servicios de no repudio, por ejemplo. Otro ejemplo es el uso de un lápiz electrónico para recabar la firma autógrafa (común para expedir credenciales) o mediante la selección de algo en una pantalla táctil por parte del firmante. De igual forma, este tipo de firma no provee los servicios de integridad y no-repudio.
Ejemplos:
• Usando una firma biométrica.
• Firma con un lápiz electrónico al usar una tarjeta de crédito o débito en una tienda.
• Marcando una casilla en una computadora, a máquina o aplicada con el ratón o con el dedo en una pantalla táctil.
• Usando una firma digital.
• Usando usuario y contraseña.
• Usando una tarjeta de coordenadas.
La firma electrónica a su vez puede tener diferentes técnicas para firmar un documento, así tenemos las siguientes: Código secreto o de ingreso: es la necesidad de una combinación determinada de números o letras, que son sólo conocidas por el dueño del documento, o lo que todos usamos, por ejemplo en los cajeros automáticos, es el famoso PIN (Personal Identification Number). Métodos basados en la Biometría: se realiza el acceso al documento mediante mecanismos de identificación física o biológica del usuario o dueño del documento. La forma de identificación consiste en la comparación de características físicas de cada persona con un patrón conocido y almacenado en una base de datos.
Los lectores biométricos identifican a la persona por lo que es (manos, ojos, huellas digitales y voz). En el perfeccionamiento del cifrado de mensajes, llegamos a lo que se conoce como criptografía. Esta consiste en un sistema de codificación de un texto con claves de carácter confidencial y procesos matemáticos complejos, de manera que para el tercero resulta incomprensible el documento si desconoce la clave decodificadora, que permite ver el documento en su forma original.
De ahí es que surgen dos tipos de criptografía:
1. de clave secreta o simétrica: las partes en los dos procesos de cifrado y descifrado comparten una clave común previamente acordada. Debe ser conocida solamente por ambas partes para evitar que un tercero ajeno a la operación pueda descifrar el mensaje transmitido y de esa forma haga caer toda la seguridad del sistema.
2. Por ese motivo surgió el sistema de clave asimétrica o de doble clave, clave pública y clave privada. Este sistema fue creado por investigadores de la Universidad de Stanford en 1976. Tal como lo indica su nombre el sistema posee dos claves: una de ellas sólo es conocida por el autor del documento y la otra puede ser conocida por cualquier persona. Y si bien esas dos claves se encuentran relacionadas matemáticamente mediante un algoritmo, no es posible por medio de la clave pública, conocer la clave privada, por lo menos en los estándares tecnológicos actuales.
Una firma electrónica crea un historial de auditoría que incluye la verificación de quién envía el documento firmado y un sello con la fecha y hora.
¿Para qué se usa la firma digital?
Una firma digital es una firma electrónica que se puede usar para autenticar la identidad de quien envía un mensaje o quien firma un documento electrónico, así como asegurar que el contenido original del mensaje o del documento electrónico que ha sido enviado no ha sido modificado. Las firmas digitales son fácilmente transportables y no pueden imitarse. La firma digital puede aplicarse a cualquier tipo de información electrónica, ya sea que se encuentre cifrada o en texto claro. En la tabla 1 se muestra una comparación entre la firma digital y la firma autógrafa.
CERTIFICADOS DIGITALES
Un certificado digital o certificado electrónico es un fichero informático generado por una entidad de servicios de certificación que asocia unos datos de identidad a una persona física, organismo o empresa confirmando de esta manera su identidad digital en Internet. El certificado digital es válido principalmente para autenticar a un usuario o sitio web en internet por lo que es necesaria la colaboración de un tercero que sea de confianza para cualquiera de las partes que participe en la comunicación. El nombre asociado a esta entidad de confianza es Autoridad Certificadora pudiendo ser un organismo público o empresa reconocida en Internet.
El certificado digital tiene como función principal autenticar al poseedor pero puede servir también para cifrar las comunicaciones y firmar digitalmente. En algunas administraciones públicas y empresas privadas es requerido para poder realizar ciertos trámites que involucren intercambio de información delicada entre las partes.
La estructura de un certificado digital X.509 (versión 3) es la siguiente:
• Certificado
– Versión
– Número de serie
– ID del algoritmo
– Emisor
– Validez
∗ No antes de
∗ No después de
– Sujeto
– Información de clave pública del sujeto
∗ Algoritmo de clave pública
∗ Clave pública del sujeto
– Identificador único de emisor (opcional)
– Identificador único de sujeto (opcional)
– Extensiones (opcional)
• Algoritmo usado para firmar el certificado
• Firma digital del certificado
Una parte importante de los certificados digitales es el campo "Extensions", en el cual se puede agregar información propia de la aplicación de firma electrónica que se desarrolla, por ejemplo, el ID de empleado, ID de funcionario o Matricula de estudiante.
Infraestructura de llave pública (PKI)
Los certificados digitales son emitidos por una autoridad certificadora, en la cual se confía y es ella quién verifica que una llave pública particular está asociada con un individuo específico, quién posee la llave privada con la que éste genera las firmas digitales. Los certificados digitales tienen un periodo de validez 10 3. Firma digital en México aunque también pueden revocarse. Cuando se verifica una firma digital, se debe garantizar que el certificado usado en el proceso de verificación es auténtico (está firmado digitalmente por la autoridad certificadora que lo emite) y no ha sido revocado. La creación y administración de certificados digitales requiere de una infraestructura, que se conoce como PKI (Public Key Infraestructure). Una PKI es el conjunto del hardware, software, recursos humanos, políticas y procedimientos que se necesitan para crear, administrar, distribuir, usar, almacenar y revocar certificados digitales.
BIBLIOGRAFIA:
http://www.tamps.cinvestav.mx/~mmorales/documents/dsMexico.pdf
http://www.firmadigital.gba.gov.ar
http://www.upv.es/contenidos/CD/info/711545normalc.html
http://www.seg-social.es/Internet_1/Sede/Certificadosdigital47735/index.htm
INTEGRANTES:
EZEQUIEL TORRES LEÓN
RAMÓN VILLA MOJICA
ULISES DIAZ ACUÑA
JOSÉ ADRIÁN PÉREZ BERNABÉ
FIRMA ELECTRÓNICA
El término firma electrónica implica el uso de cualquier medio electrónico para firmar un documento. Es este sentido, el simple escaneo de una firma autógrafa y su inserción como imagen en un documento digital puede considerarse como firma electrónica. Sin embargo, este tipo de firma electrónica no garantiza los servicios de no repudio, por ejemplo. Otro ejemplo es el uso de un lápiz electrónico para recabar la firma autógrafa (común para expedir credenciales) o mediante la selección de algo en una pantalla táctil por parte del firmante. De igual forma, este tipo de firma no provee los servicios de integridad y no-repudio.
Ejemplos:
• Usando una firma biométrica.
• Firma con un lápiz electrónico al usar una tarjeta de crédito o débito en una tienda.
• Marcando una casilla en una computadora, a máquina o aplicada con el ratón o con el dedo en una pantalla táctil.
• Usando una firma digital.
• Usando usuario y contraseña.
• Usando una tarjeta de coordenadas.
La firma electrónica a su vez puede tener diferentes técnicas para firmar un documento, así tenemos las siguientes: Código secreto o de ingreso: es la necesidad de una combinación determinada de números o letras, que son sólo conocidas por el dueño del documento, o lo que todos usamos, por ejemplo en los cajeros automáticos, es el famoso PIN (Personal Identification Number). Métodos basados en la Biometría: se realiza el acceso al documento mediante mecanismos de identificación física o biológica del usuario o dueño del documento. La forma de identificación consiste en la comparación de características físicas de cada persona con un patrón conocido y almacenado en una base de datos.
Los lectores biométricos identifican a la persona por lo que es (manos, ojos, huellas digitales y voz). En el perfeccionamiento del cifrado de mensajes, llegamos a lo que se conoce como criptografía. Esta consiste en un sistema de codificación de un texto con claves de carácter confidencial y procesos matemáticos complejos, de manera que para el tercero resulta incomprensible el documento si desconoce la clave decodificadora, que permite ver el documento en su forma original.
De ahí es que surgen dos tipos de criptografía:
1. de clave secreta o simétrica: las partes en los dos procesos de cifrado y descifrado comparten una clave común previamente acordada. Debe ser conocida solamente por ambas partes para evitar que un tercero ajeno a la operación pueda descifrar el mensaje transmitido y de esa forma haga caer toda la seguridad del sistema.
2. Por ese motivo surgió el sistema de clave asimétrica o de doble clave, clave pública y clave privada. Este sistema fue creado por investigadores de la Universidad de Stanford en 1976. Tal como lo indica su nombre el sistema posee dos claves: una de ellas sólo es conocida por el autor del documento y la otra puede ser conocida por cualquier persona. Y si bien esas dos claves se encuentran relacionadas matemáticamente mediante un algoritmo, no es posible por medio de la clave pública, conocer la clave privada, por lo menos en los estándares tecnológicos actuales.
Una firma electrónica crea un historial de auditoría que incluye la verificación de quién envía el documento firmado y un sello con la fecha y hora.
¿Para qué se usa la firma digital?
Una firma digital es una firma electrónica que se puede usar para autenticar la identidad de quien envía un mensaje o quien firma un documento electrónico, así como asegurar que el contenido original del mensaje o del documento electrónico que ha sido enviado no ha sido modificado. Las firmas digitales son fácilmente transportables y no pueden imitarse. La firma digital puede aplicarse a cualquier tipo de información electrónica, ya sea que se encuentre cifrada o en texto claro. En la tabla 1 se muestra una comparación entre la firma digital y la firma autógrafa.
CERTIFICADOS DIGITALES
Un certificado digital o certificado electrónico es un fichero informático generado por una entidad de servicios de certificación que asocia unos datos de identidad a una persona física, organismo o empresa confirmando de esta manera su identidad digital en Internet. El certificado digital es válido principalmente para autenticar a un usuario o sitio web en internet por lo que es necesaria la colaboración de un tercero que sea de confianza para cualquiera de las partes que participe en la comunicación. El nombre asociado a esta entidad de confianza es Autoridad Certificadora pudiendo ser un organismo público o empresa reconocida en Internet.
El certificado digital tiene como función principal autenticar al poseedor pero puede servir también para cifrar las comunicaciones y firmar digitalmente. En algunas administraciones públicas y empresas privadas es requerido para poder realizar ciertos trámites que involucren intercambio de información delicada entre las partes.
La estructura de un certificado digital X.509 (versión 3) es la siguiente:
• Certificado
– Versión
– Número de serie
– ID del algoritmo
– Emisor
– Validez
∗ No antes de
∗ No después de
– Sujeto
– Información de clave pública del sujeto
∗ Algoritmo de clave pública
∗ Clave pública del sujeto
– Identificador único de emisor (opcional)
– Identificador único de sujeto (opcional)
– Extensiones (opcional)
• Algoritmo usado para firmar el certificado
• Firma digital del certificado
Una parte importante de los certificados digitales es el campo "Extensions", en el cual se puede agregar información propia de la aplicación de firma electrónica que se desarrolla, por ejemplo, el ID de empleado, ID de funcionario o Matricula de estudiante.
Infraestructura de llave pública (PKI)
Los certificados digitales son emitidos por una autoridad certificadora, en la cual se confía y es ella quién verifica que una llave pública particular está asociada con un individuo específico, quién posee la llave privada con la que éste genera las firmas digitales. Los certificados digitales tienen un periodo de validez 10 3. Firma digital en México aunque también pueden revocarse. Cuando se verifica una firma digital, se debe garantizar que el certificado usado en el proceso de verificación es auténtico (está firmado digitalmente por la autoridad certificadora que lo emite) y no ha sido revocado. La creación y administración de certificados digitales requiere de una infraestructura, que se conoce como PKI (Public Key Infraestructure). Una PKI es el conjunto del hardware, software, recursos humanos, políticas y procedimientos que se necesitan para crear, administrar, distribuir, usar, almacenar y revocar certificados digitales.
BIBLIOGRAFIA:
http://www.tamps.cinvestav.mx/~mmorales/documents/dsMexico.pdf
http://www.firmadigital.gba.gov.ar
http://www.upv.es/contenidos/CD/info/711545normalc.html
http://www.seg-social.es/Internet_1/Sede/Certificadosdigital47735/index.htm
INTEGRANTES:
EZEQUIEL TORRES LEÓN
RAMÓN VILLA MOJICA
ULISES DIAZ ACUÑA
JOSÉ ADRIÁN PÉREZ BERNABÉ
EZEQUIEL TORRES- Invitado
Contenido patrocinado
Temas similares» 2.- Seguridad En Redes De Computadoras (incluya cómputo móvil)
» 5.-Servicios IP Empresariales (Incluya Cómputo Móvil)
» 1.-Monitoreo De Redes Locales y Análisis De Tráfico (con cómputo móvil)
» UNIDAD 3 SEGURIDAD EN APLICACIONES WEB
» UNIDAD 3 SEGURIDAD EN APLICACIONES WEB
» 5.-Servicios IP Empresariales (Incluya Cómputo Móvil)
» 1.-Monitoreo De Redes Locales y Análisis De Tráfico (con cómputo móvil)
» UNIDAD 3 SEGURIDAD EN APLICACIONES WEB
» UNIDAD 3 SEGURIDAD EN APLICACIONES WEB
Página 1 de 1.
Permisos de este foro:
No puedes responder a temas en este foro.