Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Articulo - Ponencia
Articulo - Ponencia
RESUMEN
El Curso de Proyecto de Grado - Ingeniera de Sistema permite que el estudiante realice una
aplicacin terica prctica de los conocimientos adquiridos, tenga la posibilidad de construir
nuevo conocimiento, fortalecer las diferentes competencias y que a travs de una propuesta
identifique y analice una problemtica de su entorno regional para la cual se proponga una
solucin creativa.
Es as que la rpida evolucin de Internet y los sitios WEB, ha Creado en la comunidad a nivel
Mundial un Fenmeno Social a gran escala, las comunicaciones utilizan este este medio llegando
a todos los rincones del Mundo; es por esto que la Empresa JURINFO LTDA en su afn por
expandir sus servicios, ha tropezado con problemas en la WEB, y todo lo que entraa hacer
presencia en Internet: Hacker, vulneracin de seguridad y manejo de usuarios.
Por lo anterior esta ponencia tiene como fin de presentar una metodologa y una conjunto de
herramientas para implementar los mecanismos de seguridad de acceso al servidor, a fin de
garantizar la fiabilidad de la informacin, canalizando respuestas concretas y oportunas en la
planificacin, anlisis, diseo, programacin y pruebas en la empresa asesoras informticas y
jurdicas JURINFO LTDA.
1 Articulo con base al Proyecto de grado de Ingeniera de Sistemas referente a Seguridad en la Web y su
implementacin en la Empresa JURINFO LTDA.
2 Estudiantes de ltimo semestre de Ingeniera de Sistemas de la Universidad Nacional Abierta y a
distancia (UNAD) Zona Centro Boyac, CEAD Tunja, Noviembre de 2015.
Dentro de las metodologas, para el desarrollo del presente proyecto se propone el uso de la
Programacin Extrema, XP (debido a su nombre en ingls eXtreme Programing), esta
metodologa busca la satisfaccin del cliente ya que se centra en potenciar las relaciones
interpersonales como clave para el xito en desarrollo de software, promoviendo el trabajo en
equipo, preocupndose por el aprendizaje, y propiciando un buen clima de trabajo.
Palabras Claves: Seguridad, Web, Informacin, Diseo, Planificacin, Programacin, Software.
Servidor.
ABSTRACT
The course grade Project - System Engineering allows the student to accomplish a practical
application of the theoretical knowledge acquired, has the possibility to build new knowledge,
strengthen their various skills and that through a proposal identify and analyze a problem of its
regional environment for which it is proposed a creative solution.
It is so that the rapid evolution of the Internet and Web sites, has been created in the global
community a social phenomenon to large-scale, the communications used this this means
reaching all corners of the world; this is why the company JURINFO LTDA in its effort to
expand its services, problems have been encountered on the web, and everything that entails a
presence on the Internet: hacker, and the violation of safety and management of users.
Therefore this paper aims to present a methodology and a set of tools to implement the security
mechanisms for access to the server, in order to ensure the reliability of the information,
channeling specific answers and timely in the planning, analysis, design, programming and
testing company in the computer consulting and legal JURINFO LTDA.
Within the methodologies for the development of the present project proposes the use of Extreme
Programming, XP (due to its English name extreme Programing), this methodology is the
satisfaction of the customer already that focuses on strengthening interpersonal relationships as
the key to the success in software development, promoting teamwork, worrying about the
learning, and fostering a good working atmosphere.
Key words: Security, Web, Information, Design, Planning, Programming, Software, Server.
1. INTRODUCCIN
Dentro del plan de desarrollo Institucional, una de las metas que tiene la entidad, es, que adems
de contar con la implementacin de una pgina certificados de seguridad web, se adecue estos
hacia los clientes y dinamizar la interaccin con el cliente, a fin de proyectar los servicios en el
mundo digital, de tal manera que pueda brindar al cliente facilidades tanto en la informacin
como en la atencin.
Ajustndose a las bases legales que consideran que el servicio de informacin al cliente es
indispensable, se pretende adoptar y favorecer los procesos de toma de decisiones por parte de
los usuarios, con la construccin de los medios ms adecuados de proteccin y promocin de la
informacin y el plan de mejoramiento de la calidad en la prestacin de los servicios de
JURINFO LTDA no solo a nivel Boyac sino del pas con perspectiva internacional.
Por otra parte el aprovechamiento de las fuentes tecnolgicas que ofrece hoy el desarrollo
ingenieril hace que las empresas se fortalezcan y estn a la vanguardia frente a otras de su mismo
tipo, hecho que las hace ms productivas y competitivas. JURINFO LTDA, siendo una Empresa
boyacense dedicada al desarrollo de sistemas informticos, demuestra un atraso en este aspecto,
siendo el tema de estudio de este trabajo: que adems de servir como ampliacin social, busca el
fortalecer de esta organizacin, en su parte de gestin de clientes, ya que, este es uno de los
puntos neurlgicos de la empresa, pues es mediante este servicio que capta recursos para su
sostenimiento.
Lo que se persigue entonces es: facilitar el acceso a los clientes, brindando la seguridad
necesaria a los aplicativos alojados en el servidor, buscando con ello brindar confianza a los
clientes y dar un mayor cubrimiento tecnolgico e innovar en los servicios que ofrece a travs de
Internet, ampliando estos a los dispositivos mviles, ampliando de esta manera la interaccin,
evitando as el desplazamiento y gasto en transporte al que incurre actualmente un cliente
promedio.
Todo lo anterior lleva consigo un gasto en tecnologa, costos que JURINFO LTDA est dispuesto
a invertir; para ello y con el fin de ayudar en esta tarea se plantea: EL DESARROLLO
ANLISIS, DESARROLLO E IMPLEMENTACIN DE MEDIDAS DE SEGURIDAD EN EL
ENTORNO WEB DE LA EMPRESA ASESORAS INFORMTICAS Y JURDICAS
JURINFO LTDA; que busca la analizar e implementar herramientas y protocolos informticos de
seguridad a fin que sean utilizados en la infraestructura existente.
2. FUNDAMENTOS TEORICOS
La seguridad de la informacin en Internet se ha convertido en una cuestin primordial para la
prestacin segura de servicios online. En la actualidad a medida que aumentan la cantidad y el
tipo de servicio prestado, se hace necesario la transferencia de informacin, la cual debe ser
protegida para asegurar la confidencialidad y la seguridad de las transacciones, el cifrado y los
canales seguros colocan de manifiesto el uso de medidas de seguridad que Internet no considero
en sus inicios.
Como lo expone (RAMIREZ, 2014), la puesta en funcionamiento de Internet no consider la
necesidad de implantar medidas de seguridad en un primer momento, dado el entorno controlado
en el que sera desplegada:
Tal y como fue creada internet en los aos 70 y con la implantacin de la tecnologa
web como medio para la comparticin de la informacin en los aos 90, utilizando el
protocolo Hyper Text Transfer Protocol (HTTP), la informacin viaja a travs de las
lneas de comunicacin totalmente en claro, de forma que cualquier persona puede
acceder a esta informacin en su trnsito por la red. El problema no se limita a la
posibilidad de que un tercero pueda acceder a la informacin que circula por la red sino
que tambin puede modificarla en su trnsito e incluso puede suplantar el servidor al
2.4. WSDL (Web Cervices Description Language). Es el lenguaje de la interfaz pblica para
los servicios Web. Es una descripcin basada en XML de los requisitos funcionales necesarios
para establecer una comunicacin con los servicios Web (GOMEZ, 2014).
2.5. UDDI (Universal Description, Discovery and Integration). Protocolo para publicar la
informacin de los servicios Web. Permite comprobar qu servicios web estn disponibles.
2.6. WS-Security (Web Service Security). Protocolo de seguridad aceptado como estndar por
OASIS (Organization for the Advancement of Structured Information Standards). Garantiza la
autenticacin de los actores y la confidencialidad de los mensajes enviados (CANO, 2013).
2.7. REST (Representational State Transfer). Arquitectura que, haciendo uso del protocolo
HTTP, proporciona una API que utiliza cada uno de sus mtodos (GET, POST, PUT, DELETE,
otros) para poder realizar diferentes operaciones entre la aplicacin que ofrece el servicio web y
el cliente (DIAZ, 2014).
3. DESARROLLO DEL TRABO
3.1. Navegacin en Internet
Para evitar los peligros que conllevan la navegacin por internet, la compaa defini los
siguientes parmetros para su uso dentro de las instalaciones de JURINFO:
1. El uso de internet debe estar destinado exclusivamente a la ejecucin de tareas y
actividades propias de la organizacin.
2. Los funcionarios de la organizacin deben abstenerse de realizar descargas de programas
que realicen conexiones automticas.
3. Evitar la descarga de msica o videos que consuman recursos web y por ende afecten el
desempeo de los servicios web.
4. Evitar el acceso a sitios web que salten la seguridad del servidor de acceso a internet
(proxy).
5. Realizar cualquier proceso que afecte desfavorablemente la habilidad de utilizar el
servicio de internet por otros funcionarios dentro de la organizacin.
3.2. Uso de Herramientas que Vulneren la Seguridad Web
Para evitar que funcionarios dentro de la organizacin vulneren la seguridad implementada se
prohibi el uso de herramientas informticas que tengan como fin:
1. Monitorear datos o trfico trasmitido por la red.
2. Sondear o probar los firewalls o usar programas de hackeo.
3. Atentar contra las vulnerabilidades del sistema o de las redes.
4. Violar las medidas de seguridad implementadas o las rutinas para la autenticacin ya sea
en el sistema o en la red.
3.3. Recursos compartidos en la red basados en la arquitectura cliente servidor.
Existen riesgos implcitos al compartir recursos en la red que pueden afectar los principios de
confidencialidad, integridad y disponibilidad de la informacin. Actualmente JURINFO hace uso
del protocolo de red para la trasferencia de archivos FTP, sin embargo, dicho protocolo es blanco
por parte de keylogers, troyanos, usuarios maliciosos, etc., es por esto que se implementaron los
siguientes estndares de seguridad en cuanto a la seguridad de los recursos acezados va web:
Solucin. Para mitigar los riesgos de usar conjuntos de cifrado dbiles, el servidor se configur
para seleccionar conjuntos de cifrado basado en su propia preferencia en lugar de la preferencia
del cliente, invocando el mtodo SSLParameters.setUseCipherSuitesOrder (true).
4.1.2 Character Set Not Specified. La herramienta detecta como potencial fallo de seguridad
que el recurso no tiene especificado un conjunto de caracteres de respuesta, lo cual implica que
el navegador puede hacer supuestos sobre el conjunto de caracteres basado en el contenido del
recurso. Esto puede presentar un problema de seguridad si el recurso afectado contiene contenido
generado dinmicamente que se origina en los usuarios.
En tal caso, usuarios podran tomar ventaja de como los navegadores interpretan los caracteres
para causar contenido malicioso, como consecuencia un atacante puede ser capaz de pasar por
alto un filtro de cross-site mediante la codificacin de su carga maliciosa en un conjunto de
caracteres alternativo.
Figura 3. Resultados Character Set Not Specified
Solucin. Para brindar seguridad a los clientes que visitan el servicio web y para indicarles que
el sitio es autntico, real y confiable, JURINFO procedi a instalar un certificado emitido por la
entidad certificadora RapidSSL SHA256 CA G4 permitiendo que las conexiones se realicen
mediante el protocolo criptogrfico TLS 1.2 como se evidencia a continuacin:
Figura 5. Instalacin, configuracin certificados
4.1.4 X-Frame-Options Header Not Set. Otra vulnerabilidad detectada indica que el recurso
no tiene el encabezado X-Frame-Options HTTP el cual sirve para prevenir que el servicio web
pueda ser abierto en un frame, o iframe previniendo as ataques de clickjaking.
Teniendo en cuenta que los valores configurables para X-Frame-Options son: DENY, para que el
navegador evite que la pgina sea renderizada si est contenida dentro de un iframe,
SAMEORIGIN, para que la pgina solo pueda ser mostrara en un frame que provenga del mismo
origen que la propia pgina y ALLOW-FROM uri, para que el navegador bloquee la
renderizacin slo si el origen de nivel superior est en un contexto de navegacin que es
diferente al valor uri proporcionado en la directiva, se procedi a incluir el siguiente filtro en el
archivo web.xml de los servicios web ofrecidos por la organizacin:
Figura 7. Configuracin filtros web.xml
<display-name>OWASP ClickjackFilter</display-name>
<filter>
<filter-name>ClickjackFilterDeny</filter-name>
<filter-class>org.owasp.filters.ClickjackFilter</filter-class>
<init-param>
<param-name>mode</param-name>
<param-value>DENY</param-value>
</init-param>
</filter>
<filter>
<filter-name>ClickjackFilterSameOrigin</filter-name>
<filter-class>org.owasp.filters.ClickjackFilter</filter-class>
<init-param>
<param-name>mode</param-name>
<param-value>SAMEORIGIN</param-value>
</init-param>
</filter>
3. CONCLUSIONES
Este trabajo constituye una exploracin significativa de los factores y situaciones que determinan
el riesgo de aplicaciones WEB, aunque cada da las organizaciones estn aprovechando las
oportunidades ofrecidas por Internet, los protocolos de seguridad no son suficientes, ms an
cuando la mixtura de usuarios no son conscientes de utilizar estos beneficios seguros, por ello
JURINFO busca a travs de herramientas y recursos de red mantener la seguridad de la
informacin de clientes y la suya propia.
Est claro que el avance en temas se seguridad como lo son los protocolos SSL/TLS, han sido
significativos, pero no suficientes, como lo demuestra lo vivido por JURINFO, por ello es
necesario seguir ahondando en la investigacin en otras reas relacionadas, como, el uso de
tarjetas inteligentes, que sern el soporte bsico en la utilizacin de la mayora de las
aplicaciones. Asimismo, ser de vital importancia el desarrollo de nuevas tcnicas de anlisis de
protocolos de seguridad, debido a que los actuales protocolos se basan en el intercambio de
claves o autenticacin de usuarios.
Referencias
LVAREZ MARAN, Gonzalo, PREZ GARCA, Pedro Pablo. (2004). Seguridad
informtica para empresas y particulares. Espaa: McGraw-Hill Espaa.
CARNERO SILVO, Carmen. (2004). Internet: Un reto para los medios de pago tradicionales.
Espaa: Ediciones Deusto - Planeta de Agostini Profesional y Formacin S.L.
CANO MARTNEZ, Jeimy Jos. (2013). Inseguridad de la informacin: una visin estratgica.
Bogot: Alfaomega Grupo Editor.
COSTAS SANTOS, Jess. (2014). Seguridad informtica. Bogot: RA-MA Editorial
DAZ ORUETA, Gabriel, ALZRRIZ ARMENDRIZ, Ignacio, SANCRISTBAL RUIZ, Elio.
(2014). Procesos y herramientas para la seguridad de redes. UNED - Universidad Nacional de
Educacin a Distancia
FERNNDEZ GMEZ, Eva Isabel. (2004). Las medidas de seguridad del comercio electrnico
en las pymes. Espaa: Ediciones Deusto - Planeta de Agostini Profesional y Formacin S.L.
GMEZ VIEITES, lvaro. (2014). Gestin de incidentes de seguridad informtica. Bogot:
RAMA Editorial
HAMPARZOMIAN, M. Luz, GIACCO, Jessica L.. (2009). Ensayos sobre comercio electrnico.
Argentina: El Cid Editor.
IBRAHIM, Kaba. (2008). Elementos bsicos de comercio electrnico. Espaa: Editorial
Universitaria
MCCLURE, Stuart, SCAMBRAY, Joel, Kurtz, George. (2010). Hackers 6: secretos y soluciones
de seguridad en redes. Mxico: McGraw-Hill Interamericana
MIFSUF TALN, Elvira. (2012). Apache. Espaa: Ministerio de Educacin de Espaa
NEILSON, Jaime. (2009). Comercio electrnico. Argentina: El Cid Editor.
SEGURIDAD
INFORMATICA.
(2015,
13
de
octubre).
Recuperado
de:
http://cxocommunity.com/articulos/blogs/blogs-seguridad-informatica/2701-delitos-en-las-redessociales.
VELTE, Toby J.. (2011). Fundamentos de comercio electrnico. Mxico: McGraw-Hill
Interamericana.