2.

6 Aspectos De Seguridad En Desarrollo De Aplicaciones Web

Introduccin
La seguridad, en informtica como en otras reas, se basa en la proteccin de activos. Estos activos pueden ser elementos tan tangibles como un servidor o una base de datos, o pueden ser la reputacin de una empresa. Generalmente podemos evaluar la seguridad de un activo en base a tres aspectos principales que no necesitan explicacin: Integridad Disponibilidad Confidencialidad

Seguridad
Estos tres aspectos a su vez dependen de otros tres elementos principales que engloban prcticamente todos los distintos controles que se pueden establecer en un sistema informtico:

Autenticacin Autorizacin Registro y Auditoria

Autenticacin
los clientes de nuestras aplicaciones o servicios deben ser identificados de forma nica, sean usuarios finales, otros servicios o computadoras externas.

Autorizacin
No solo es necesario saber quienes acceden a nuestros activos, tambin es necesario establecer que es lo que pueden hacer con ellos. Un nivel de autorizacin dado determina que tipo de operaciones o transacciones puede efectuar un cliente dado sobre un recurso dado.

Registro y Auditoria
luego de efectuada una operacin, es importante que esta sea registrada adecuadamente, en particular es esencial si queremos evitar el repudio de transacciones efectuada por un cliente.

Ataques aplicacin web

Las aplicaciones Web estn ms expuestas a ataques. Se pueden tener ataques en tres niveles:
A la computadora del usuario. Al servidor. A la informacin en trnsito.

La seguridad en Web tiene 3 etapas primarias:

Seguridad de la computadora del usuario. Seguridad del servidor Web y de los datos almacenados ah. Seguridad de la informacin que viaja entre el servidor Web y el usuario.

Seguridad de la computadora del usuario

Los usuarios deben contar con navegadores y plataformas seguras, libres de virus y vulnerabilidades. Tambin debe garantizarse la privacidad de los datos del usuario.

Seguridad del servidor Web y de los datos almacenados ah

Se debe garantizar la operacin continua del servidor, que los datos no sean modificados sin autorizacin (integridad) y que la informacin slo sea distribuida a las personas autorizadas (control de acceso).

Limitacin de acceso por nombres de usuario y claves de acceso. Slo los usuarios que conozcan una clave de acceso vlida pueden acceder a la informacin.

Seguridad de la informacin que viaja entre el servidor Web y el usuario

Garantizar que la informacin en trnsito no sea leda (confidencialidad), modificada o destruida por terceros. Tambin es importante asegurar que el enlace entre cliente y servidor no pueda interrumpirse fcilmente (disponibilidad).

VPN
Virtual Private Network Red Privada Virtual
Es una tecnologa de red que permite una extensin de la red local sobre una red pblica o no controlada, como por ejemplo Internet.

VPN
Virtual Private Network Red Privada Virtual
Para hacerlo posible de manera segura es necesario proporcionar los medios para garantizar la autentificacin, integridad de toda la comunicacin: Autentificacin y autorizacin: Quin est del otro lado? Usuario/equipo y qu nivel de acceso debe tener. Integridad: de que los datos enviados no han sido alterados. Para ello se utiliza funciones de Hash. Los algoritmos de hash ms comunes son los Message Digest (MD2 y MD5) y el Secure Hash Algorithm (SHA). Confidencialidad: Dado que slo puede ser interpretada por los destinatarios de la misma. Se hace uso de algoritmos de cifrado como Data Encryption Standard (DES), Triple DES (3DES) y Advanced Encryption Standard (AES). No repudio: es decir, un mensaje tiene que ir firmado, y el que lo firma no puede negar que el mensaje lo envi l o ella.

Recomendaciones: Asegurar el servidor

Se deben considerar los siguientes puntos: Asegurar el servidor en una forma fundamental: el sistema operativo, ya sea por medio de actualizaciones (parches) y habilitando los mecanismos propios de la plataforma. Garantizar la seguridad del servidor Web propiamente (IIS, Apache, etc.) Auditar las aplicaciones que interactan en las dos capas anteriores (mdulos, bibliotecas).

Recomendaciones: Asegurar la informacin en trnsito

Esto se puede lograr por diversos medios: Asegurando la red fsicamente (switches en lugar de hubs). Esconder la informacin (esteganografa). Cifrar la informacin (criptografa) por medio de algoritmos diversos(SSL, VPNs).

Recomendaciones: Asegurar el equipo del usuario

Vulnerar el equipo del usuario quizs no tenga el impacto de vulnerar el servidor, sin embargo es un problema ms difcil de erradicar (1 servidor, 5000 clientes): Aplicar actualizaciones (parches) al sistema operativo. Uso de antivirus, firewalls personales. Educacin de los usuarios.

Cuenta con un servidor seguro bajo el protocolo SSL (Secure Socket Layer) de tal menara que la informacin que nos envan, se transmite encriptada para asegurar su proteccin.

Para verificar que se encuentra en un entorno protegido, asegrese de que aparezca una S en la barra de navegacin httpS://.

Autenticacin Autorizacin Registro y Auditoria

Utilizando NetScreen-Remote Security Client, los administradores de red y de seguridad podrn garantizar fcilmente la seguridad y la integridad de las conexiones VPN remotas a una red corporativa, bloqueando con eficacia ataques por puerta trasera como Troyanos y ataques de cambio de sentido en un tnel VPN. NetScreen-Remote Security Client tambin dispone de una funcin de evaluacin que determina el nivel de seguridad del cliente remoto antes de permitirle el acceso a los recursos corporativos.

Acceso
https://servicios.iusacell.com.mx Usuario VPN NetScreen Remote Biometrico