Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PRESENTADO POR:
GRUPO: 201014_37
2018
PASO 4 – TRABAJO COLABORATIVO 1
PRESENTADO POR:
GRUPO: 201014_37
PRESENTADO A:
JAVIER MEDINA
2018
TABLA DE CONTENIDO
INTRODUCCION .......................................................................................................................... 4
OBJETIVOS ................................................................................................................................... 5
General ......................................................................................................................................... 5
Específicos ................................................................................................................................... 5
PROBLEMÁTICA ......................................................................................................................... 6
Planteamiento ............................................................................................................................... 6
La seguridad bajo el ambiente web desde hace muchos años se ha convertido en una tarea
fundamental para los ingenieros de sistemas y afines al área; toda vez que por medio de este canal
debido a canales vulnerables. Es aquí donde como futuros profesionales debemos estar atentos y
documentados para hacerle frente a este aspecto, el cual no es nada fácil, debido a que por cada
método creado e implementado para generar una barrera a estos problemas, es un nuevo camino
que se puede hallar dentro del sistemas, es así que es un trabajo de constante monitoreo y mejora.
Por medio del siguiente trabajo el cual hace parte como primer paso de la materia proyecto de
grado para ingeniería de sistemas, hemos querido trabajar este tema, con el fin de analizar y poder
desarrollar prácticas y soluciones que se puedan implementar con el fin de evitar estos tipos de
ataques.
pág. 4
OBJETIVOS
General
Analizar, definir y argumentar la propuesta de trabajo para la materia proyecto de grado (ingeniería
de sistemas)
Específicos
pág. 5
PROBLEMÁTICA
Planteamiento
Es posible afirmar que muchas compañías e instituciones utilizan estos medios de comunicación
para transar información sensible, lo cual ha generado interés a los llamados ciber-intrusos y se han
incrementado en una medida vertiginosa los métodos de espionaje informático y los ataques
externos a las redes.
Las Empresas y organizaciones hoy en día necesitan implementar una política de seguridad para
prevenir el acceso no autorizado de usuarios a sitios web. Un caso en particular serían las
universidades que debido a la continua evolución la gran mayoría dan la oportunidad de tomar las
clases virtuales, teniendo en cuenta que frecuentemente los estudiantes acceden a sus páginas
ingresando datos personales, desarrollo de las actividades e información de gran importancia para
el desarrollo de sus carreras profesionales.
Es aquí donde la seguridad en la Web toma su importancia ya que la tecnología seleccionada puede
ser una alternativa de solución, para el problema plateado, ya que busca mitigar los riesgos de
seguridad en los diferentes procesos que se realizan a diario en la web, orientado a las empresas y
organizaciones, que de una u otra forma se han visto afectados por no implementar este tipo de
tecnología. (Godaddy.com, 2017)
pág. 6
Tabla de síntomas, causas, pronóstico y control al pronóstico
CONTROL AL
SÍNTOMAS CAUSAS PRONÓSTICOS
PRONÓSTICO
la plataforma de hacker.
la Universidad sin
autorización del
usuario.
obtener
información
personal de los
pág. 7
correos y de esta
acceso a la
información
personal.
2017) anomalías en el
pág. 8
universidad cualquier tipo de
porque le DoS.
encontrarían
caída.
clic en enlaces de
procedencia
desconocida.
pág. 9
LÍNEAS DE INVESTIGACIÓN ECBTI
Línea de Investigación:
Sub-línea de Investigación:
Línea de Investigación:
Gestión de Sistemas: Apoyar el desarrollo productivo, tecnológico y social empresarial a través del
análisis, diseño, implementación o administración de sistemas de información y las TIC que estén
basados en la planificación, dirección, control, evaluación y realimentación de actividades
procedimentales.
Se ocupa de integrar, planificar y controlar los aspectos técnicos, humanos, organizativos,
comerciales y sociales del proceso completo empezando con el análisis del dominio del problema,
continuando con el diseño de alternativas de solución y finalizando con la operatividad de un
sistema. La gestión de sistema incluye también procesos que abarcan la planificación de
actividades, metas, responsables, indicadores de eficiencia eficacia y efectividad.
Sub-líneas de Investigación:
pág. 10
Línea de Investigación:
Grupos de Investigación
pág. 11
RELACIÓN DE LA PROBLEMÁTICA CON LA LÍNEA O LÍNEAS DE
INVESTIGACIÓN ENCONTRADAS
1
Tomado del documento “La investigación ciencias en la escuela de básicas, tecnología e ingeniería”, año 2011,
página 27
pág. 12
DESCRIPCIÓN DE LA TECNOLOGÍA ESCOGIDA PARA DAR SOLUCIÓN AL
PROBLEMA
Ya que el protocolo HTPPS utiliza el certificado de cifrado SSL/TSL, el cual se encarga de cifrar
la información para que llegue a su destino de una forma segura, es importante reforzar la seguridad
de este certificado, ya que es allí donde se presentan los ataques.
Recomendaciones o Mejoras:
Mantener una versión actualizada del certificado SSL o TSL, ya que hay versiones antiguas que
con muy vulnerables. Emplear algoritmos robustos en las configuraciones de cifrado. Un
Certificado SSL (Secure Sockets Layer, Capa de Zócalos Seguros) con el que un portal web
evidencia a sus usuarios que se trata de un sitio web seguro y sobre el cual las personas podrán
navegar sin el temor de ser víctimas de un ataque cibernético o robo de información. Se usa
principalmente para hacer saber a una persona que una transacción económica que se efectúe
haciendo uso de ese portal web. Gracias al Certificado SSL, los portales web se aseguran de que
los atacantes, en su gran mayoría de sus casos, no puedan realizar acciones maliciosas como instalar
software en el sistema del visitante por medio de la manipulación del código web.
Activar TLS Fallback Signaling Cipher Suite Value (SCSV), el cual sirve para impedir ataques de
degradación del protocolo en la seguridad de la capa de transporte TLS y protocolos de seguridad
de capa de transportes de datagramas (DTLS).
pág. 13
Activar HTTP Strict Transport Security (HSTS), el cual permite evitar ataques que pueden
interceptar comunicaciones.
"HTTP Strict Transport Security (HSTS) permite a los sitios web declararse
accesible sólo a través de HTTPS (HTTP Seguro) y fue diseñado para evitar que los
atacantes puedan crear conexiones a través de HTTP o de abusar de los errores en
las implementaciones de HTTPS, lo cual pone en peligro la integridad del
contenido".2
"HSTS evita el uso de contenido mixto (HTTP y HTTPS) que puede afectar la
seguridad e integridad de los sitios web HTTPS. El contenido mixto se carga cuando
algunos scripts u otros recursos incrustados en una página web habilitada para
HTTPS se cargan desde una ubicación de terceros a través de una conexión
insegura HTTP. Esto puede ser el resultado de un error de desarrollo o puede ser
intencional".3
Configurar Perfect Forward Secrecy (PFS), ya que es la propiedad de los sistemas criptográficos
que garantiza que si se llegan a descubrir las claves utilizadas actuales, no comprometa la seguridad
de las claves usadas con anterioridad.
2
http://blog.segu-info.com.ar/2012/11/aprobado-como-standar-http-strict.html
3
https://foro.elhacker.net/noticias/http_strict_transport_security_hsts_aprobado_como_protocolo_estandar-
t377031.0.html
pág. 14
"Cuando un navegador se conecta a un servidor seguro HTTPS, en los primeros milisegundos, el
navegador envía una configuración con la que se establecerá dicha conexión, que se suele mostrar
con un candado verde.
"Un nuevo formato de cifrado, denominado Perfect Forward Secrecy, se está desarrollando para
ofrecer a los usuarios la mayor seguridad posible frente ataques informáticos. Esta nueva
configuración de conexión HTTPS asegura a los usuarios la máxima confidencialidad de datos y
garantiza que sus datos viajarán seguros por la red aunque se realice algún tipo de ataque de red
que intente capturar los paquetes. El principal problema actual de este nuevo protocolo es que, por
el momento, el número de servidores que lo soportan es bastante bajo (GitHub, por ejemplo, es
uno de ellos) y tiene que ser compatible con el navegador (Google Chrome, entre otros, es
compatible con este protocolo).
"Con el protocolo Perfect Forward Secrecy , aunque un atacante (la NSA, por
ejemplo) consiga tener acceso a la clave privada del servidor, será prácticamente
imposible conseguir la clave de sesión del cliente, por lo que los datos serán
imposibles de descifrar y de acceder a ellos. Tarde o temprano es probable que la
NSA termine por hacerse con el control de Perfect Forward Secrecy aunque, si hay
una mínima probabilidad de tener unas conexiones de red, debemos tener esperanza
en que el desarrollo siga adelante y que tanto los usuarios como los desarrolladores
y administradores lo acepten"4.
En este artículo específicamente se habla del protocolo capa conexión segura (SSL), nos
concentramos en las aplicaciones HTTP y HTTPS. HTTPS es el protocolo HTTP usado por encima
del protocolo SSL. Las comunicaciones SSL entre el cliente y el servidor se efectúan mediante
sesiones SSL. El Protocolo Handshake es responsable de la creación de sesión: este negocia
parámetros criptográficos que son compartidos por varias conexiones, evitando las renegociaciones
frecuentes. Esto permite a clientes y servidores identificarse mutuamente, negociar algoritmos de
cifrado y de MAC e intercambiar en modo seguro la clave de sesión por cuenta del Protocolo de
4
https://www.redeszone.net/2014/01/12/perfect-forward-secrecy-el-futuro-de-los-cifrados-de-red/
pág. 15
Registro SSL. El Protocolo de Registro SSL proporciona servicios de integridad y privacidad. Este
fragmenta los mensajes de entrada en bloques, comprime cada bloque, aplica un código de
Autenticación de Mensaje (Message Authentication Code; MAC) y luego cifra el bloque usando
una clave privada intercambiada por el Protocolo Handshake. Este agrega un encabezado al
mensaje y lo envía a través del TCP. Los mensajes recibidos son decodificados, verificados,
descomprimidos y reconstruidos, para después ser enviados a la capa de aplicación. (Bregni,
Giacomazzi, & Poli., 2011)
El envío de datos mediante el protocolo HTTPS está protegido mediante el protocolo de seguridad
de la capa de transporte (TLS), que proporciona las tres capas clave de seguridad siguientes:
Cifrado: se cifran los datos intercambiados para mantenerlos a salvo de miradas indiscretas. Ello
significa que cuando un usuario está navegando por un sitio web, nadie puede "escuchar" sus
conversaciones, hacer un seguimiento de sus actividades por las diferentes páginas ni robarle
información.
Integridad de los datos: los datos no pueden modificarse ni dañarse durante las transferencias, ni
de forma intencionada ni de otros modos, sin que esto se detecte.
Autenticación: garantiza que tus usuarios se comuniquen con el sitio web previsto. Proporciona
protección frente a los ataques "man-in-the-middle" y contribuye a la confianza de los usuarios, lo
que se traduce en otros beneficios empresariales.
Para poder habilitar el protocolo HTTPS en un sitio web, se debe obtener un certificado de
seguridad. El certificado lo emite una autoridad de certificación (CA), que toma las medidas
pág. 16
necesarias para verificar que la dirección web pertenezca realmente a la organización que lo está
solicitando y, por lo tanto, protege a los usuarios de cualquier ataque "man-in-the-middle". Al
configurar el certificado, se debe asegurar de obtener un nivel de seguridad alto escogiendo una
clave de 2048 bits.
HTTPS no sólo impide que alguien vea las páginas web que se visita si no también impide que
puedan conocer las URL por la que se navega, los parámetros que se envían al servidor haciendo
las páginas mucho más seguras. Hay que autenticar los servidores. No sirve de nada tener los datos
cifrados si no se asegura que cuando el usuario ingresa se está conectando al servidor correcto.
Para eso están los certificados SSL, que contienen la clave pública y los nombres de dominio en
los que se pueden usar. Las CA (terceros de confianza) aseguran que el certificado es válido y que
el servidor es quien dice ser.
Por lo que una firma de una CA asegura que el servidor es quien dice ser. Por lo que hay que
verificar la firma para asegurarse de que es real. Para ello, el navegador busca el certificado en su
almacén (en realidad es un anillo de confianza, algo más complejo) y verifica la firma. Si no es
válida o no encuentra el certificado, mostrará un aviso de que no puede autenticar la conexión al
servidor. (Guillermo, 2017).
El certificado SSL es la tecnología estándar para mantener segura una conexión a Internet, así como
para proteger toda información confidencial que se envía entre dos sistemas, e impedir que los
delincuentes lean y modifiquen datos que se transfieran, incluso datos que pudieran considerarse
personales. Los dos sistemas pueden ser un servidor y un cliente (por ejemplo, un sitio web de
compras y un navegador), o de servidor a servidor (por ejemplo, una aplicación con información
que se considere personal o con datos de nóminas).
Esto lo lleva a cabo asegurándose de que todos los datos que se transfieren entre usuarios y sitios
web, o entre dos sistemas, sean imposibles de leer. Utiliza algoritmos de cifrado para codificar los
datos que se transmiten e impedir que los hackers los lean al enviarlos a través de la conexión. Esta
información podría ser cualquier dato confidencial o personal, por ejemplo, números de tarjeta de
crédito y otros datos bancarios, nombres y direcciones. (¿Qué son SSL, TLS y HTTPS?, 2018)
pág. 17
El sistema se basa en la utilización de claves públicas. El navegador del cliente incluye las claves
públicas de las denominadas Entidades Certificadoras Autorizadas, que son esencialmente unos
notarios electrónicos. El cliente contacta con el servidor seguro, el cual le envía su clave pública,
certificada por la Entidad Autorizada, una vez verificada la identidad del servidor, el cliente genera
una clave aleatoria que se envía cifrada con la clave pública del servidor. Una vez que ambas partes
conocen la clave de sesión, puede comenzarse la transferencia de datos.
SSL trabaja en conjunto con entidades certificadoras. Las principales Autoridades Certificadoras
actuales son Verisign y Thawte. El sistema se basa en una autoridad de confianza, en países
industrializados es el estado o policía, que atestigua que la persona portadora de dicho documento
es quién dice ser. El formato de los Certificados Digitales es estándar, y se caracterizan por ser
demasiado grandes pero necesarios para proporcionar seguridad en SSL, siendo X.509 v3 el
recomendado por la ITU y el que está en vigor en la actualidad. (Romero, 2005).
Como punto de partida la tecnología escogida por la Compañera Natalia es el certificado de cifrado
Secure Sockets Layer y Transport Layer Security (SSL/TLS), que es una familia de protocolos que
proporciona servicios de seguridad a una conexión TCP. SSL está construida sobre TCP, lo que
tiene dos consecuencias:
Funciona como un proceso de usuario, i.e., no requiere alteraciones del sistema operativo.
Funciona encima de TCP, de forma que se basa en una conexión (stream de datos) fiable y
no tiene que ocuparse de secuencias de paquetes ni de retransmisión o timeouts.
Historia de SSL/TLS:
La primera versión de SSL (SSLv2) fue introducida por Netscape en su navegador con la intención
(fallida) de crear un monopolio de certificación. Microsoft, de acuerdo con su práctica habitual,
pág. 18
introdujo algunas “mejoras” y creó un producto paralelo e incompatible conocido por PCT (Private
Communications Technology).
Netscape creó en consecuencia una vasta mejora del protocolo, bajo el nombre de SSLv3. La IETF,
en vista del daño que para la industria representaría la existencia de tres estándares similares pero
incompatibles, introdujo un cuarto protocolo similar pero incompatible denominado TLS
(Transport Layer Security). La versión del protocolo más ampliamente desarrollada y extendida es
SSL versión 3.
Como funciona:
El objetivo de SSL consiste en construir, sobre el servicio de stream fiable de TCP, un stream fiable
cifrado con protección de integridad y con autenticación (posiblemente mutua) entre cliente y
servidor.
Para esto, el stream se divide en registros (records) dotados de cabecera y protección criptográfica.
En el protocolo básico, Alicia (el cliente) inicia contacto con Bernardo (el servidor). Éste le envía
su certificado. Alicia lo verifica y extrae de él la clave pública de Bernardo. Alicia genera un
número aleatorio secreto S y se lo envía a Bernardo cifrado con su clave pública, EB(S). A partir
de aquí se generan seis claves de sesión que permiten que el resto de la comunicación sea cifrada
y protegida en su integridad. (Cobas, 2005).
Capa de mensaje
Capa de Registro
(records y alertas)
Capa de transporte (TCP)
pág. 19
Figura 2: Como funciona SSL.
El protocolo SSL funciona directamente encima del protocolo de control de transmisión (TCP) y
actúa como una especie de capa de seguridad. Permite que las capas de protocolo superiores se
pág. 20
mantengan sin cambios y al mismo tiempo se proporciona una conexión segura. Así que, debajo
de la capa de SSL, las otras capas de protocolo pueden funcionar con normalidad.
Si un certificado SSL se utiliza correctamente, lo único que podrá ver un atacante será el puerto y
la dirección IP que están conectada, y la cantidad aproximada de datos que se envían. Quizá puedan
cortar la conexión, pero el servidor y el usuario podrán percatarse de que esto se debe a un tercero.
Sin embargo, como el atacante no puede interceptar ningún dato, esta acción no tiene prácticamente
ninguna utilidad.
Tal vez el hacker llegue a averiguar el nombre del host al que está conectado el usuario, pero lo
importante es que no podrá identificar el resto de la URL. Dado que la conexión está cifrada, la
información importante queda a salvo. (¿Qué son SSL, TLS y HTTPS?, 2018).
Es bueno recordar que SSL es un estándar de facto, propuesto por Netscape y ampliamente
disponible en navegadores y servidores Web, por lo que es uno de los sistemas de seguridad más
utilizado en Internet. SSL es el único protocolo que se mantiene, en base a sus continuas
actualizaciones, que le han servido para depurar sus errores y constituirse en la arquitectura de
seguridad de mayor fortaleza. En sus inicios tuvo muchos inconvenientes de implantación per sin
embargo todos estos problemas fueron superados hasta convertirlo en la mejor solución de
seguridad de la actualidad.
Una de las razones que tienen a SSL a la vanguardia de la seguridad en redes es su flexibilidad a
constantes cambios que lo llevan a un depuramiento continuo de sus falencias, esta característica
se ve reflejada en su diseño ya que muchas de las funcionalidades que SSL presta están
contempladas en las características de segundad que implementa IPv6.
pág. 21
SSL no permite tener el control de acceso a determinada aplicaciones., además de poder realizar
una jerarquización de los niveles de acceso a las aplicaciones. La aplicación de técnicas que nos
permitan mantener niveles aceptables de confidencialidad e integridad son menos complicadas que
las de otras soluciones como IPSec y WAP. (Romero, 2005).
BLOG
https://unadidea.blogspot.com.co/
pág. 22
CONCLUSIONES
Podemos concluir con este trabajo que la temática que estamos trabajando es muy importante
debido a que en el entorno informático y de las nuevas tecnologías estamos muy vulnerables a
ataques por medio del internet y por esto es muy importante definir protocolos de seguridad que
nos permita navegar y hacer cualquier transacción de una manera confiable.
Así mismo, es muy importante para nuestra vida profesional trabajar mediante la práctica de esta
materia el cómo definir una idea y como redactar un trabajo de grado, el cual se podría decir es un
complemento del desarrollo de proyectos, los cuales muy seguramente estaremos desarrollando en
nuestro ámbito profesional.
pág. 23
BIBLIOGRAFÍA
https://www.websecurity.symantec.com/es/mx/security-topics/what-is-ssl-tls-https
como-standar-http-strict.html
Bregni, Giacomazzi, & Poli., &. (2011). Cost-performance optimization of SSL-based secure
https://foro.elhacker.net/noticias/http_strict_transport_security_hsts_aprobado_como_prot
ocolo_estandar-t377031.0.html
implementación del protocolo SSL (Secure Sockets Layer) en redes móviles. QUITO:
Bachelor's thesis.
https://www.redeszone.net/2014/01/12/perfect-forward-secrecy-el-futuro-de-los-cifrados-
de-red/
pág. 24