Documente Academic
Documente Profesional
Documente Cultură
SERVICIOS DE INTERNET
4.1 SEGURIDAD EN LA WEB
•
LA PALABRA UBICADA MÁS A LA DERECHA SE LE LLAMA DOMINIO DE NIVEL SUPERIOR
(TLD CADA PALABRA A LA IZQUIERDA ESPECIFICA UNA SUBDIVISIÓN O SUBDOMINIO.
MÁS A LA IZQUIERDA DEL DOMINIO SUELE EXPRESAR EL NOMBRE ARBITRARIO DE UNA MÁQUINA
La ICANN (Internet Corporation for Assigned Names and Numbers) es una organización que
coordina ciertas funciones técnicas de Internet como la gestión de DNS y la acreditación de
empresas registradoras. Los dominios de nivel superior son aprobados o rechazados por la
ICANN. Los TLDs pueden ser genéricos y territoriales. Algunos ejemplos:
•
• •
• •
•
• •
•
•
•
• DOMINIO .COM
1985
VERISIGN
• DOMINIO .BIZ
TLDs Territoriales:
Existen otros TDLs que no son aceptados (rechazados) por la ICANN como:
Sin embargo, estos dominios no oficiales pueden estar funcionado perfectamente porque hay
organismos que mantienen estos nombres, creando una especie de Internet no oficial a la que
se puede acceder de diversas maneras...
FUNCIONAMIENTO
Para que podamos acceder a un recurso mediante un nombre es necesario que se realice un
proceso previo de conversión del nombre en una IP del servidor que contenga el recurso
(recordemos que los host se identifican por sus IPs publicas). Este proceso se denomina
"resolución de nombre".
Cuando escribimos una dirección en un navegador, lo primero que éste hace es resolver el
nombre de dominio para obtener la IP correspondiente. Una vez obtenida la IP se establece
una comunicación (TCP) con dicha IP.
Métodos:
· Local host name
· Fichero HOSTS
· Servidor DNS
· Servidor de nombres NetBIOS
Tipos de servidores DNS
Estos son los tipos de servidores de acuerdo a su función:
Secundarios o esclavos: obtienen los datos de los servidores primarios a través de una
transferencia de zona.
Locales o caché: funcionan con el mismo software, pero no contienen la base de datos
para la resolución de nombres. Cuando se les realiza una consulta, estos a su vez consultan
a los servidores DNS correspondientes, almacenando la respuesta en su base de datos para
agilizar la repetición de estas peticiones en el futuro continuo o libre.
4.1.2 CAPA DE SOCKETS SEGUROS. Secure Socket Layer (SSL)
El cifrado de capa de sockets seguros (SSL, Secure Sockets Layer) es el método más utilizado
para transmitir datos cifrados por Internet. Este funciona mediante el intercambio de llaves entre
el cliente y el servidor que sirven para descifrar la información que ha sido codificada por un
cifrado simétrico. De esta forma los datos encriptados pueden ser descriptados únicamente por
el poseedor de la llave correcta.
El protocolo se ejecuta sobre TCP/IP y bajo los protocolos de aplicación, como por ejemplo el
protocolo de transferencia de hipertexto (HTTP), el Lightweight Directory Access Protocol (LDAP) y el
Internet Inter-ORB Protocol (IIOP), y proporciona confianza y privacidad a los datos de transporte.
Una de las características de seguridad ofrecidas por SSL es el cifrado de datos, que evita la
exposición de información sensible mientras los datos fluyen por la conexión. Otra característica de
seguridad es el registro de datos, que evita la modificación no autorizada de los datos mientras éstos
fluyen por la conexión. Una tercera característica es la autenticación del cliente y el servidor, que
garantiza que se comunique con la persona o la máquina adecuada. SSL puede ser eficaz a la hora
de asegurar un entorno empresarial.
TRANSPORT LAYER SECURITY (TLS)
TLS
•
PERMITE
TANTO EL CIFRADO DE DOCUMENTOS COMO LA AUTENTICACIÓN
MEDIANTE FIRMA Y CERTIFICADOS DIGITALES, PERO SE DIFERENCIA DE
SSL EN QUE SE IMPLEMENTA A NIVEL DE APLICACIÓN.
SER .SHTML
PROTOCOLO SET
Desde el punto de vista de las comunicaciones, está soportado sobre los servicios de conexión
TCP/IP, y funciona de la misma forma que el resto de los servicios comunes de los entornos UNIX:
un proceso servidor escucha en un puerto de comunicaciones TCP (por defecto, el 80), y espera
las solicitudes de conexión de los clientes Web. Una vez que se establece la conexión, el
protocolo TCP se encarga de mantener la comunicación y garantizar un intercambio de datos
libre de errores.
2. El cliente Web decodifica la URL, separando sus diferentes partes. Así identifica el protocolo de
acceso, la dirección DNS o IP del servidor, el posible puerto opcional (el valor por defecto es 80)
y el objeto requerido del servidor.
3. Se abre una conexión TCP/IP con el servidor, llamando al puerto TCP correspondiente.
4. Se realiza la petición. Para ello, se envía el comando necesario (GET, POST, HEAD,…), la
dirección del objeto requerido (el contenido de la URL que sigue a la dirección del servidor), la
versión del protocolo HTTP empleada (casi siempre HTTP/1.0) y un conjunto variable de
información, que incluye datos sobre las capacidades del browser, datos opcionales para el
servidor,…
1. Sea precavido con la ejecución de archivos adjuntos que provengan de remitentes desconocidos o
poco confiables: A pesar de que es una táctica antigua, los ciberdelincuentes siguen utilizando el
correo electrónico para propagar malware debido al bajo costo que les insume y a que aún algunos
usuarios incautos suelen caer en este tipo de estrategias.
2. Evite hacer clic en cualquier enlace incrustado en un correo electrónico: Como ocurre con los
archivos adjuntos, resulta sencillo para un cibercriminal enviar un enlace malicioso accediendo al
cual la víctima infecta su equipo. En este tipo de engaños se suele suplantar la identidad de grandes
empresas, de modo de despertar confianza en el usuario.
3. Recuerde que su banco nunca le pedirá información sensible por e-mail: El phishing consiste en el
robo de información personal y/o financiera del usuario, a través de la falsificación de un ente de
confianza. Este tipo de engaños se valen del correo electrónico para enviar falsas alertas de
seguridad que inviten a los usuarios a pulsar sobre un enlace que les redirecciona a una web falsa del
banco suplantado. Si el usuario introduce sus datos de acceso, su cuenta bancaria y sus fondos
pueden verse comprometidos.
4. Habilite el filtro anti-spam en su casilla de correo: Cuando esta configuración se encuentra
deshabilitada, el usuario abre las puertas a recibir en su bandeja de entrada no sólo información
indeseada sino también e-mails que buscan convertirlo en víctima de estrategias de Ingeniería
Social.
6. Implemente contraseñas seguras y únicas por cada servicio: De esta forma se evita que muchas
cuentas se vean afectadas si uno de ellas es comprometida. Recuerde que una contraseña segura
es igual o mayor a 10 caracteres y posee mayúsculas, minúsculas, números y caracteres especiales.
9. Utilizar el envío en Copia Oculta (CCO): En caso de enviar un mensaje a muchos contactos, o
reenviar uno que recibiste, asegúrate de utilizar copia oculta en lugar de agregar a todos los
remitentes en los campos de Para o CC (Con copia), a fin de proteger sus direcciones de e-mail.
S/MIME puede ser utilizado por los agentes de correo tradicionales para añadir seguridad pero
también puede ser usado en cualquier protocolo de transporte de datos con formato MIME, como
puede ser el HTTP.
La estructura de un mail S/MIME amplia la del MIME con la aparición de ciertos tipos. Su estructura es
básicamente la siguiente:
La opción multipart que suele ir a continuación de Content-Type nos da las siguientes opciones:
multipart/mixed: indicamos que el mail se compone de una serie de entradas MIME y cada
una de ellas tendrá una estructura MIME con todos los campos necesarios. Para delimatar las
partes se ha de añadir boundary={puede ser lo que quieras}. Cada una de las partes
contenidas puede a su vez utilizar multipart/mixed y contener a varias partes más.
Para obtener un mail cifrado sólo hay que indicar Content-Type: application/x-pkcs7-mime.
Al tratarlo, el mailer, descodifica el cuerpo, elimina la linea en blanco que hay entre la cabecera y
el cuerpo, elimina los campos Content- y lo pega todo a la parte de arriba obteniendo así un mail
normal.
El objeto PKCS7 contiene la firma electrónica del mail pero además puede contener:
· data: datos
S/MIME puede garantizar la confidencialidad del tráfico de datos utilizando direcciones de correo
anónimas, que deshacen la dirección original. Para evitar que una tercera persona pueda identificar
la identidad del emisor mediante la firma digital, calcula primeramente dicha firma, la añade al
mensaje original y lo cifra todo en bloque.
Esta combinación permite aprovechar lo mejor de cada uno: El cifrado simetrico es más rápido
que el asimétrico o de clave pública, mientras que éste, a su vez, proporciona una solución al
problema de la distribución de claves en forma segura y garantiza el no repudio de los datos y la
no suplantación.
Cuando un usuario emplea PGP para cifrar un texto en claro, dicho texto es comprimido. La
compresión de los datos ahorra espacio en disco, tiempos de transmisión y, más importante aún,
fortalece la seguridad criptográfica ya que la mayoría de las técnicas de criptoanalisis buscan
patrones presentes en el texto claro para romper el cifrado. La compresión reduce esos patrones
en el texto claro, aumentando enormemente la resistencia al criptoanálisis.
Después de comprimir el texto, PGP crea una clave de sesión secreta que solo se empleará una
vez. Esta clave es un número aleatorio generado a partir de los movimientos del ratón y las teclas
que se pulsen durante unos segundos con el propósito específico de generar esta clave (el
programa nos pedirá que los realicemos cuando sea necesario), también puede combinarlo con
la clave anteriormente generada. Esta clave de sesión se usa con un algoritmo simétrico
(IDEA,TRIPLE DES) para cifrar el texto claro.
GPG - GNU Privacy Guard (GnuPG o GPG)
Es una herramienta de cifrado y firmas digitales desarrollado por Werner Koch, que viene a ser
un reemplazo del PGP (Pretty Good Privacy) pero con la principal diferencia que es software
libre licenciado bajo la GLP.
GPG cifra los mensajes usando pares de claves individuales asimetricas generadas por los
usuarios. Las claves publicas pueden ser compartidas con otros usuarios de muchas maneras,
un ejemplo de ello es depositándolas en los servidores de claves . Siempre deben ser
compartidas cuidadosamente para prevenir falsas identidades por la corrupción de las claves
públicas.
También es posible añadir una firma digital criptográfica a un mensaje, de esta manera la
totalidad del mensaje y el remitente pueden ser verificados en caso de que se desconfíe de
una correspondencia en particular.
En su lugar usa una serie de algoritmos no patentados como ELGAMAL, CAST5, TRIPLE DES
(3DES), AES y BLOWFISH.
También es posible usar IDEA en GPG descargando un plugin extra, sin embargo este
puede requerir una licencia para usuarios de algunos países en donde esté patentada
IDEA.
Este modo de operación es parte del estándar openPGP y ha sido parte del PGP desde su
primera versión