1.2.7.

PROTOCOLOS DE SEGURIDAD PARA REDES ABIERTAS A continuacin tenemos algunos sistemas de seguridad en Internet ms habituales en el mercado SSL y SHTTP, son tan transparentes que el usuario ni siquiera seda cuenta de que los est utilizando. PGP y SET, son sistemas muy completos y flexibles, muyamistosos con el usuario y que estn siendo utilizadosampliamente. Una parte imprescindible en cualquier sistema de seguridad es el mecanismo de autentificacin que permita a las mquinas el reconocimiento del usuario.

AUTENTIFICACIN

Llamamos autentificacin a la comprobacin de la identidad de una persona o de un objeto. Hemos visto hasta ahora diversos sistemas que pueden servir para la autentificacin de servidores, de mensajes y de remitentes y destinatarios de mensajes. Pero hemos dejado pendiente un problema: las claves privadas suelen estar alojadas en mquinas clientes y cualquiera que tenga acceso a estas mquinas puede utilizar las claves que tenga instaladas y suplantar la identidad de su legtimo usuario. Por tanto es necesario que los usuarios adopten medidas de seguridad y utilicen los medios de autentificacin de usuario de los que disponen sus ordenadores personales. Hay tres sistemas de identificacin de usuario, mediante contrasea, mediante dispositivo y mediante dispositivo biomtrico. La autentificacin mediante contrasea es el sistema ms comn ya que viene incorporado en los sistemas operativos modernos de todos los ordenadores. Por tanto es necesario que los usuarios adopten medidas de seguridad y utilicen los medios de autentificacin de usuario de los que disponen sus ordenadores personales. Hay tres sistemas de identificacin de usuario, mediante contrasea, mediante dispositivo y mediante dispositivo biomtrico. La autentificacin mediante contrasea es el sistema ms comn ya que viene incorporado en los sistemas operativos modernos de todos los ordenadores.

Los ordenadores que estn preparados para la autentificacin mediante dispositivo slo reconocer al usuario mientras mantenga introducida una llave, normalmente una tarjeta con chip. Hay sistemas de generacin de claves asimtricas que introducen la clave privada en el chip de una tarjeta inteligente. Los dispositivos biomtricos son un caso especial del anterior, en los que la llave es una parte del cuerpo del usuario, huella dactilar, voz, pupila o iris. Existen ya en el mercado a precios relativamente econmicos ratones que llevan incorporado un lector de huellas dactilares.

Para cumplir el mayor nmero de propiedades en el traspaso de informacin en las redes abiertas se han desarrollado distintos protocolos que intentan abarcar el mayor nmero de ellas. Las ms utilizadas son SSL y SET. Estos dos protocolos estndar de seguridad: el SET y el SSL, son sistemas que encriptan nuestros datos para que nadie pueda acceder a ellos. El SET, es un conjunto de normas de seguridad que adjunta un certificado al pago que se realiza mediante tarjeta de crdito. Mientras que, el SSL (ms conocido y ms utilizado), tiene como funcin principal cifrar el nmero de las tarjetas de crdito antes de que el mismo sea enviado

1.2.7.A. PROTOCOLO SET (SECURE ELECTRONIC TRANSACTION) Transaccin electrnica segura o SET es un protocolo estndar para proporcionar seguridad a una transaccin con tarjeta de crdito en redes de computadoras inseguras, en especial Internet. SET utiliza tcnicas criptogrficas tales como certificados digitales y criptografa de clave pblica para permitir a las entidades llevar a cabo una autenticacin entre s y adems intercambiar informacin de manera segura. SET surge de una solicitud de estndar de seguridad por VISA y MasterCard Por otro lado las implementaciones actuales de e-commerce que solo utilizan el protocolo SSL presentan un bajo costo y simplicidad en su implementacin sin ofrecer la misma calidad de servicios criptogrficos que las nuevas alternativas. Confidencialidad de la informacin. SET utiliza la encripcin de mensajes para asegurar la confidencialidad de la informacin. Integridad de los datos. SET provee las firmas digitales que aseguran la integridad de la informacin de pago. Autentificacin de la cuenta del poseedor de la tarjeta. SET utiliza las firmas digitales y los certificados del poseedor de la tarjeta para asegurar la autentificacin de la cuenta del poseedor de la tarjeta. Autentificacin del comerciante. SET provee el uso de firmas digitales y certificados del comerciante para asegurar la autentificacin del comerciante. Interoperabilidad. SET utiliza protocolos y formatos de mensaje previamente definidos para asegurar la interoperabilidad. El alcance de la especificacin incluye la aplicacin de los algoritmos criptogrficos (como el RSA y DES), los formatos de mensajes de certificados, compra, autorizacin, captura y de los objetos en cuestin, as como los mensajes entre los participantes.

FINALIDAD El objetivo primordial de SET es mantener la confidencialidad de la informacin intercambiada en una transaccin, as como garantizar la integridad del mensaje y la identidad de los participantes, con objeto de evitar los fraudes, falsificaciones y uso ilegitimo de tarjetas de crdito en Internet. DESVENTAJAS El SET an no esta completamente implantado en Internet debido, en primer lugar, a la necesidad de utilizar un software especial (tanto para compradores como para comerciantes) cuya distribucin y comercializacin se est desarrollando muy lentamente. La segunda y ms importante razn es que el funcionamiento del SET resulta complejo y confuso para los usuarios. Desde el punto de vista de los especialistas, SET es un mecanismo que ir creciendo paulatinamente, pero de momento seguir coexistiendo con el protocolo SSL.

A partir del ao 2000, las compaas de tarjetas de crdito comenzaron a promocionar un nuevo estndar para reemplazar SET, denominado 3-D Secure.

Desde octubre del 2008, los bancos y tiendas en lnea han comenzado a adoptar el sistema 3DSecure para los pagos en lnea. 3DSecure 3DSecure es llamado "Verified by Visa" en Visa, y "SecureCode" en Mastercard y American Express SafeKey en American Express Este sistema evita los fraudes de tipo CNP (Card No Present), es decir los pagos fraudulentos con tarjeta de crdito sin presencia real de la tarjeta (por ejemplo, nmero de tarjetas robadas). El objetivo es: disminuir las estafas a las tiendas en lnea dar seguridad a los clientes en sus pagos

1.2.7.B. PROTOCOLO SSL (Secure Sockets Layer) Capa de Conexin Segura o SSL son protocolos que proporcionan comunicaciones seguras por una red, comnmente Internet. Un protocolo diseado para permitir que las aplicaciones para transmitir informacin de ida y de manera segura hacia atrs. Las aplicaciones que utilizan el protocolo Secure Sockets Layer s sabe cmo dar y recibir claves de cifrado con otras aplicaciones, as como la manera de cifrar y descifrar los datos enviados entre los dos. Teniendo como sucesor a Transport Layer Security (TLS ) o tambien llamado seguridad de la capa de transporte

Es un protocolo que proporciona privacidad de las comunicaciones en Internet usando criptografa simtrica con las claves especficas para la conexin y las comprobaciones de integridad del mensaje. TLS proporciona algunas mejoras sobre SSL en seguridad, confiabilidad, interoperabilidad y extensibilidad.

ANLISIS DEL PROTOCOLO SSL El protocolo SSL requiere para su implementacin seguir las siguientes recomendaciones: Las restricciones de exportacin de US limitan las llaves RSA para encripcin a 512 bits pero no establece lmites en la longitud de las llaves RSA para las operaciones de firma. Los certificados deber de ser mayores a 512 bits de longitud, dado que las llaves RSA de 512 bits no son seguras para operaciones que requieran gran seguridad. Por tanto las llaves deben de ser cambiadas diariamente o cada 500 transacciones, por ejemplo. SSL requiere un generador de nmeros pseudo aleatorios criptogrficamente seguro (pseudorandom number generator PRNG). Los PRNG basados en operaciones hash seguras como el MD5 y SHA son aceptables pero no proveen mayor seguridad que el tamao del estado del generador de nmeros aleatorios. Por ejemplo los PRNG basados en MD5 usualmente proveen 128 bits de estado. Las implementaciones son responsables de verificar la integridad de los certificados y debe generalmente soportar mensajes de revocacin de certificados. Los certificados deben ser verificados siempre para asegurar el firmado apropiado por una autoridad certificadora confiable (CA).

De acuerdo al anlisis [Wagner 96] el protocolo SSL presenta imperfecciones menores que pueden ser fcilmente corregidas sin modificar la estructura bsica del protocolo. En general el protocolo SSL 3.0 provee una seguridad excelente contra la escucha y los ataques pasivos. Aunque se han revelado algunos ataques pasivos, por lo que es necesario modificar la especificacin para detectar ataques como cambio del algoritmo de cifrado y el engao de algoritmo de intercambio de llaves. Otro problema mayor es la comunicacin entre SSL 3.0 y 2.0 o la intrusin para hacer creer que la otra parte utiliza la versin 2.0 del protocolo, ya esta versin tiene un gran nmero de problemas de seguridad que pueden ser aprovechadas. El protocolo SSL de iniciacin tiene varias vulnerabilidades. Una imperfeccin en el protocolo no necesariamente produce una implementacin vulnerable. No obstante es necesario que la especificacin prevenga explcitamente de una ataque o permita la prevencin directa. ARQUITECTURAS DE COMERCIO ELECTRNICO SSL:

Lineal: Es muy utilizado en el mercado americano. Muestra la ventaja de buena gestin de clientes, 1 click shopping, y el inconveniente de que el comercio tiene que tener un control de seguridad muy avanzado. Triangular: En este caso existen tres actores en la transaccin. Muestra la ventaja de independizar al comercio de todo los referente a la gestin del pago. Adems, el comercio no requiere de una seguridad adicional. El usuario introduce sus datos de pago en un servidor de la entidad financiera, no de comercio. El inconveniente que presenta es que el 1 click shopping no resulta tan fcil de implementar. Requiere obligatoriamente de un tpv-virtual encargado de establecer, online, la conexin con la entidad financiera del comercio.

1.2.7.C. COMPARACION ENTRE SSL VS SET SSL SET

1.2.7.D. PROTOCOLO PGP (PRETTY GOOD PRIVACY) 1.2.8. EVOLUCION DE LOS PROTOCOLOS DE SEGURIDAD 1.2.8.A. 3D SET Modelo De Tres Dominios 1.2.8.B. 3D SECURE 1.3. SEGURIDAD DE ACCESO EN LA PASARELA DE PAGOS FUNCIONAMIENTO

FINALIDAD VENTAJAS 1. Para el comprador 2. Para el vendedor DESVENTAJAS 1.4. SEGURIDAD EN LOS ACCESOS REMOTOS 1.4.1. REDES PRIVADAS VIRTUALES Definicin de red privada virtual (vpn) Como trabaja la tecnologa de tneles de una red privada virtual 1.4.2. SEGURIDAD EN LOS ROUTERS Introduccin A Los Routers De Seleccin Routers De Seleccin En Relacin Con El Mundo Osi Filtracin De Paquetes Modelo Simple Para La Filtracin De Paquetes Operaciones De Filtracin De Paquetes Reglas De Filtracin De Paquetes Y Asociaciones Totales Descripcin Tipo de protocolo Tipo de protocolo Definicin De Listas De Acceso 1.5. SEGURIDAD EN LOS ACCESOS DE USUARIOS A INTERNET 1.5.1 FIREWALLS, CORTAFUEGOS Red Firewall Porque Utilizar Una Red Firewall Contra Que Puede Proteger Una Red Firewall Contra Que No Puede Proteger Una Red Firewall Que Ocurre Con Los Virus Cuales Son Algunas De Las Decisiones Bsicas Al Adquirir Una Red Firewall Cuales Son Los Tipos Bsicos De Redes Firewall Construir Tu Propia Firewall Conocimientos De Seguridad Ms Caro Equivale A Ms Seguro? 1.5.2. VIRUS, GUSANOS, TROYANOS Y PUERTAS TRASERAS El Caballo De Troya Por Qu El Nombre De Caballo De Troya? Tipos De Caballos De Troya 1.5.3. EDUCACIN DE LOS USUARIOS EN LA UTILIZACIN DE INTERNET 1.5.4. SERVIDORES DE INTERNET SEGUROS