Documentos de Académico
Documentos de Profesional
Documentos de Cultura
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
111. La seguridad en redes. Control de accesos. Técnicas
criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación:
protección de servicios web, bases de datos e interfaces de
usuario.
Índice
1. Introducción................................................................................................. 3
2. La seguridad en redes................................................................................. 7
3. Control de accesos ................................................................................... 13
4. Técnicas criptográficas.............................................................................. 22
5. Mecanismos y formatos de firma digital .................................................... 23
6. Control de Intrusiones ............................................................................... 28
7. Cortafuegos (Firewalls) ............................................................................. 29
8. Seguridad en el nivel de aplicación: protección de servicios web, bases de
datos, e interfaces de usuarios......................................................................... 32
9. Referencias ............................................................................................... 42
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
1. Introducción
El mundo de las redes ha sufrido una enorme transformación en los últimos años y el uso de
infraestructuras y sistemas de información y telecomunicaciones ha generado una nueva
realidad y cambios en nuestra sociedad. Este nuevo espacio de intercambio de información y
comunicación también conlleva riesgos y las consecuencias de la interrupción o alteración de
las redes puede afectar al desarrollo económico y al bienestar social.
Por otro lado, respecto a la primera línea estratégica de acción (incrementar la capacidad de
prevención, detección, investigación y respuesta ante las ciberamenazas) de la Estrategia de
Ciberseguridad Nacional, destaca el CERT (Computer Emergency Response Team) de
Seguridad e Industria, creado conjuntamente por los Ministerios de Interior e Industria, Energía
y Turismo a través de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la
Información. Este CERT tiene su sede en el Instituto Nacional de Tecnologías de la
Comunicación (INTECO). De esta forma, en respuesta a incidentes sobre las tecnologías de la
información de las infraestructuras críticas ubicadas en España, INTECO se convierte en una
herramienta de apoyo al CNPIC (Centro Nacional para la Protección de las Infraestructuras
2
Críticas) en la gestión de incidentes de ciberseguridad . Por otro lado, el CCN-CERT se crea
como CERT nacional gubernamental y tiene responsabilidad en ciberataques sobre sistemas
de las Administraciones Públicas.
Por último, con el fin de ofrecer a los usuarios el mayor grado de seguridad posible, la Unión
3
Europea ha creado mediante el Reglamento (CE) nº 460/2004 del Parlamento Europeo y del
Consejo, de 10 de marzo de 2004, la agencia ENISA (Agencia Europea de Seguridad de las
Redes y de la Información). Su función principal es la prevención, reacción, gestión y
asesoramiento en seguridad y la coordinación entre los países de la Unión.
1
http://www.lamoncloa.gob.es/documents/20131332estrategiadeciberseguridadx.pdf
2
http://www.inteco.es/CERT/Infraestructuras_Criticas/
3
http://eur-lex.europa.eu/legal-
content/ES/ALL/;ELX_SESSIONID=xG34T2WYs3T1nJ0hBf49xfCQxBSdg4kDqK9jLphM6ZzNkS2khgnY!-
1784156891?uri=CELEX:32004R0460
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
manera vertiginosa y, en consecuencia, se han de reforzar las medidas de seguridad
previamente establecidas.
La política de seguridad está constituida por el conjunto de directrices que regula la utilización
de recursos y el tratamiento de la información en un sistema. Se concretará en un modelo de
seguridad formal, para ser finalmente implementada mediante mecanismos de seguridad
concretos.
En julio de 2014, hackers del grupo “Ciberberkut” bloquearon con un ataque DDoS
durante casi 24 horas la página del presidente de Ucrania, a quien acusaron de
genocidio de su pueblo.
Ataques a proveedores del servicio DNS de tiendas virtuales como Amazon e e-Bay en
varias ocasiones en los últimos años. El trastorno económico no sólo deriva de la
ausencia de ventas durante el tiempo de caída por denegación, sino también de la
pérdida de confianza de los posibles usuarios.
Ataque por desbordamiento de buffer (Buffer Overflow). Este tipo de ataque se basa en un
fallo de programación que se produce por ausencia de control adecuado de la cantidad de
datos que se copian sobre un área de memoria reservada a tal efecto (buffer). Asimismo,
suelen estar diseñados para activar la ejecución de un código arbitrario al ocurrir esta situación
y conseguir el control de la máquina con los máximos privilegios. Un ejemplo de este ataque es
una vulnerabilidad en la librería criptográfica de OpenSSL:
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
Bug Heartbleed. Las implementaciones de TSL de determinadas versiones de
OpenSSL no manejan adecuadamente algunos paquetes construidos específicamente
para provocar un desbordamiento de buffer. Esta debilidad reportada en abril de 2014,
permite obtener información sensible alojada en la memoria del sistema afectado.
Phising del mundial de fútbol de 2014. A principios de 2014, se recibe este tipo de
ataque que consistía en proponer al usuario un enlace hacia un sitio web para ganar
entradas para los partidos del mundial de fútbol. El sitio web solicitaba al usuario sus
datos personales y bancarios.
Ataques de fraude telefónico. Suponen por ejemplo la conexión de locutorios a nuestro punto
de acceso telefónico con el consiguiente incremento de nuestra factura telefónica, y nos ponen
de manifiesto la necesidad de proteger el acceso físico a nuestros recursos. Un ejemplo es la
evolución en telefonía de voz sobre IP (VoIP) del ataque “phreaking” a la infraestructura
telefónica convencional:
Diginotar: En julio de 2011, el PSC holandés Diginotar fue atacado y el resultado fue la
emisión de más de 500 certificados falsos de sitios web conocidos. En los sistemas de
Diginotar, el pirata informático descubre y explota varias vulnerabilidades de seguridad
de la autoridad de certificación (CA), como demuestra el análisis forense que encontró
software malicioso fácilmente detectado por un antivirus, herramientas de hacking y
parte de software sin parchear. Además, el pirata aprovecha la mala administración de
los sistemas realizada por la organización debido a la nula separación de los
componentes en dominios de seguridad, mala estructuración de la red, inexistente
separación de funciones y la ubicación de todos los servidores de la CA en el mismo
dominio Windows con contraseña débil de administrador.
Comodo. En marzo de 2011, se generan certificados SSL sin una correcta verificación
en el PSC Comodo. En este caso el hacker no ataca la infraestructura de la CA y la
acción se dirige al componente encargado de la verificación de la identidad. Se
compromete la Autoridad de Registro (RA) con la obtención del usuario y contraseña.
5
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
Estos ataques mediante virus informáticos, DDoS, hacking son algunos ejemplos conocidos,
pero también es necesario considerar los incidentes causados voluntaria o involuntariamente
desde dentro de la propia organización o los originados por catástrofes naturales.
Por lo tanto, la idea es tratar de evitar las vulnerabilidades, identificarlas y corregirlas antes de
que puedan ser utilizadas. La organización debe saber cuáles son las principales
vulnerabilidades de sus activos de información y cuáles son las amenazas que podrían explotar
las vulnerabilidades. También debe estudiar la probabilidad del ataque a sus sistemas, analizar
si la amenaza se llevará a cabo utilizando la vulnerabilidad existente y definir un plan de acción
para afrontar los riesgos de seguridad. El objetivo no es la ausencia de fallos de seguridad,
sino la confianza en que están bajo control y que se conocen los riesgos para poder afrontarlos
y controlarlos.
Partiendo de esa premisa, se debe buscar cómo gestionar los riesgos que supone la utilización
del software, tal y como hacen organizaciones como VISA. Estas organizaciones establecen un
control sobre los riesgos, saben que cuentan con una cifra de fraude que conocen
(estadísticamente) de antemano y que además pueden clasificar. Para la gestión de los riesgos
detectados, se puede seguir alguna metodología como MAGERIT (Metodología de Análisis y
Gestión de Riesgos).
Se ha de tener claro que las medidas de seguridad tales como cortafuegos, el cifrado, o las
infraestructuras de clave pública, no evitan los riesgos, aunque sí los reducen. Se debe romper
la falsa ilusión de seguridad de los productos que se nos ofrecen como la panacea y que rara
vez cumplen lo anunciado.
A lo largo del presente documento se referencian conceptos que han de quedar bien definidos,
por lo que a continuación, se incluyen varios de los términos más habituales utilizados:
• Activos: son los recursos del sistema de información o relacionados con éste,
necesarios para que la organización funcione correctamente y alcance los objetivos
propuestos por su dirección. Se puede distinguir diferentes categorías: información,
físicos, servicios de Tecnologías de Información y humanos.
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
• Impacto: daño producido a la organización por la materialización de una amenaza
sobre una vulnerabilidad.
• Análisis de riesgos: proceso que consiste en identificar las amenazas que acechan a
los distintos activos para determinar la vulnerabilidad del sistema ante esas amenazas
y de esta forma estimar el impacto que una seguridad insuficiente puede tener para la
organización.
2. La seguridad en redes
2.1. Dimensiones de la seguridad
Existen diversas definiciones del término Seguridad informática, pero se destacan las
definiciones ofrecidas por el estándar de seguridad de la información ISO/IEC 27001 y la
definición dada por Magerit:
ISO/IEC 27001
MAGERIT
Integridad: Propiedad que mantiene con exactitud los datos originados, sin ser
manipulados o alterados por terceros.
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
Disponibilidad: Disposición de los servicios a ser usados cuando sea necesario
por las personas o procesos autorizados en el momento que lo requieran. La
carencia de disponibilidad supone una interrupción del servicio.
Asimismo, estos datos necesitan ser comunicados entre diferentes sistemas, y es necesaria
una interconexión entre ellos. Los equipos de las organizaciones se interconectan en redes
para generar valor añadido y habilitar flujos de información entre los diferentes sistemas. Toda
esta interconexión permite que las amenazas a la seguridad aparezcan en los todos los puntos
a los que llegue la conectividad.
• Modificación (afecta a la integridad). Una entidad consigue cambiar los datos del flujo
de información. Obtención no sólo de acceso no autorizado al recurso/comunicación,
sino también de la capacidad de modificarlo (modificación de los datos
enviados/recibidos entre dos ordenadores...).
• Fabricación (afecta a la integridad). Una entidad inventa y añade datos a los enviados
en el flujo de información. Además de conseguir acceso al recurso/comunicación, se
tiene la posibilidad de insertar información falsa.
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
Las amenazas intencionadas son las de mayor relevancia, pero no todas las amenazas son
deliberadas y asociadas a ataques con intenciones dañinas que explotan una vulnerabilidad.
En algunos casos, el término amenaza es usado para acciones que no buscan producir un
daño ni explotar una vulnerabilidad, pero que pueden ocasionar problemas en los activos.
Existen varios ejemplos de este tipo de amenaza, como los errores de configuración en los
sistemas o los accidentes. Una mala configuración por parte de los usuarios también
compromete a la seguridad y debe prevenirse mediante las medidas adecuadas.
No obstante, el factor humano debe tenerse en cuenta y existe un principio que mantiene que
"los usuarios son el eslabón más débil". Una vulnerabilidad que pueden explotar los atacantes
es la vulnerabilidad humana. Los usuarios introducen inconscientemente en las redes
elementos que pueden comprometer la seguridad de la red, desde virus traídos en un memory
stick, hasta programas ilegales infectados. Otras veces, por errores en el uso de sus equipos,
los usuarios pueden colapsar las redes.
Sniffing. Análisis de tráfico. Tiene como objeto la captura y lectura del tráfico y
datos que son transmitidos en la red.
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
o IP Spoofing (Suplantación de IP): Sustituir la dirección IP origen por otra IP.
Se consigue el envío de paquetes con otra dirección IP de origen. Sirven
sobre todo para enmascarar ataques de denegación de servicio.
MitM (Man in the middle). El atacante captura el tráfico entre dos sistemas con
posibilidad de modificar e inyectar su propio tráfico. Al equipo destino le envía
peticiones simulando ser el equipo solicitante. MitM se emplea típicamente para
referirse a manipulaciones activas de los mensajes, más que para denotar
intercepción pasiva de la comunicación, pero el ataque MitM puede ser de varios
tipos:
o Eavesdropping. Intercepción de la comunicación. Un atacante escucha
pasivamente para obtener información que puede utilizarse posteriormente
en un ataque posterior con objeto de suplantar a la entidad.
o Replay attack. Repetición. Consiste en la captura de datos y la
retransmisión de estos datos válidos.
o Hijacking. Secuestro. Técnica de un atacante para robar información con
objeto de conseguir una conexión de red (IP hjjacking), una sesión
(session hijacking) o una página web (page hijacking).
10
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
o SYN flodding. El atacante envía mensaje SYN (synchronize) sin llegar a
completar el proceso de conexión y sin enviar el mensaje ACK (aknowlege)
final.
Al no requerir conexión física, el atacante simplemente debe estar dentro del perímetro de la
red inalámbrica y, con un acceso no autorizado, podría escanear y obtener todos los datos que
se transmiten a través de la red. Las consecuencias serían desde la reducción del ancho de
banda hasta el acceso a nuestra información personal, contraseñas, etc. NIST ha dedicado una
publicación especial, SP 800-153 - Guidelines for Securing Wireless Local Area Networks
(WLANs) con las recomendaciones de seguridad en la redes de área local inalámbricas.
Respecto a la seguridad en redes WIFI, varios aspectos deben ser tenidos en cuenta:
Clave no robusta. Incluso un cifrado WPA-2 con AES puede ser vulnerable con una
clave débil. Una contraseña fuerte complica la probabilidad de “romper” la contraseña
mediante la fuerza bruta.
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
2.2.4. La seguridad en las redes y el software libre
Con el software libre, el usuario puede disponer del código fuente y puede ser analizado en
busca de errores de diseño e incluso modificado con las mejoras que se considere necesario.
Por otro lado, respecto a la seguridad, existen diversas soluciones de seguridad en software
libre y que pueden ser consideradas como un alternativa a programas de software. Desde
análisis del tráfico de red en busca de tráfico inusual o malicioso (Ethereal), firewalls (iptables),
sistemas de detección de intrusión (por ejemplo Snort), escáneres de vulnerabilidad (como
Nessus), antivirus (ClamAV), entre otros.
ISO 27000: contiene una descripción general y vocabulario claramente definido, que
evite distintas interpretaciones de conceptos técnicos y de gestión.
ISO 27001: Es la norma principal de la serie y contiene los requisitos del Sistema de
Gestión de Seguridad de la Información. Tiene su origen en la BS 7799-2:2002
(documento publicado por el gobierno del Reino Unido) y es la norma con arreglo a la
cual se certifican por auditores externos los SGSI de las organizaciones. Esta norma se
publica en octubre de 2005 y es revisada en septiembre de 2013 con la publicación de
ISO/IEC 27001:2013. En España, esta norma está publicada como UNE-ISO/IEC
27001:2007.
ISO 27002: La norma fue publicada originalmente como un cambio de ISO 17799:2005
(con origen en el British Standard BS 7799-1), manteniendo 2005 como año de edición.
Posteriormente, es revisada en 2013 y se publica la norma ISO/IEC 27002:2013. Es
una guía de buenas prácticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la información. Se publica en España como
UNE-ISO/IEC 27002:2009 en diciembre de 2009.
ISO 27004: Especifica las métricas y las técnicas de medida aplicables para determinar
la eficacia de un SGSI y de los controles relacionados. Publicada en diciembre de 2009
como ISO/IEC 27004:2009.
12
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
ISO 27005: Establece las directrices para la gestión del riesgo en la seguridad de la
información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001
y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la
información basada en un enfoque de gestión de riesgos. Se publica en junio de 2008
como ISO/IEC 27005:2008.
MAGERIT ofrece la aplicación PILAR para el análisis y gestión de los riesgos. La última versión
de la Herramienta PILAR es la versión 5.4 que es desarrollada y financiada por el Centro
Criptológico Nacional (CCN). CCN ha publicado en septiembre de 2014 varias guías CCN-STIC
correspondientes a los manuales de esta versión de la herramienta PILAR:
3. Control de accesos
3.1. Acceso, autenticación e identificación.
El control de accesos es el método por el cual se incrementa la seguridad de una red mediante
la restricción de uso de los recursos a los usuarios de la red de acuerdo a una política de
seguridad definida. Para permitir el acceso, es fundamental conocer si el usuario o máquina se
encuentra dentro de los grupos permitidos en la política de seguridad.
Aplicación
Middleware
Sistema Operativo
Hardware
4
http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.ht
ml
13
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
Modelo de control de acceso no discrecional o mandatorio (MAC): el sistema
protege los recursos. Los objetos y sujetos están compartimentados, a través de
etiquetas de seguridad. El sistema permite el acceso a recursos si y sólo si el sujeto
tiene el permiso adecuado, comparando las etiquetas del que accede frente al recurso
accedido, siguiendo un modelo matemático multinivel (MLS), por ejemplo Bell-
LaPadula, Biba o Clark-Wilson. Los criterios de seguridad TCSEC correspondientes al
nivel de seguridad B1 o superior incluyen este modelo.
Los modelos DAC y MAC son inadecuados para cubrir las necesidades de la mayor parte de
las organizaciones. El modelo DAC es demasiado débil para controlar el acceso a los recursos
de información de forma efectiva, en tanto que el MAC es demasiado rígido. Desde los 80 se
ha propuesto el modelo de control de accesos basado en roles (RBAC), como intento de
unificar los modelos clásicos DAC y MAC, consiguiendo un sistema donde el sistema impone el
control de accesos, pero sin las restricciones rígidas impuestas por las etiquetas de seguridad.
En los sistemas distribuidos, es necesario controlar no sólo los usuarios que acceden a los
servicios sino también los recursos que ha utilizado. Es importante supervisar quién puede
acceder a la red, pero también es importante definir lo que puede hacer y observar las acciones
que realice mientras accede. Por esta razón, se utiliza una arquitectura denominada triple-A o
AAA (Authentication, Authorization and Accounting) para realizar tres funciones con este
objeto: autenticación, autorización y trazabilidad (o auditoría).
14
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
Sistemas basados en el “factor de inherencia” (algo que el usuario es). Se refiere a
rasgos intrínsecos del usuario. Aquí entran todos los mecanismos biométricos, desde
examen de iris, huellas dactilares o reconocimiento facial. Se diferencian entre los
mecanismos fisiológicos (iris, facial,…) y los de conducta (voz, tipo de escritura en
teclado,…).
Se debe tener en cuenta que ISO 19790 define un cuarto “factor de conducta” (algo que el
usuario suele hacer).
3.2.1. Contraseñas
Se utiliza información secreta y compartida para controlar el acceso. Para intentar mejorar sus
características de seguridad, los sistemas de control de acceso además implementan:
Según su estructura:
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
o Criptográficas: las más avanzadas, con un microprocesador y un coprocesador
matemático para efectuar algoritmos de cifrado.
Según el interfaz:
3.2.5. Biométricos
Existen, con diferente fiabilidad, sistemas de autenticación biométrica sobre:
Huellas dactilares.
Reconocimiento de retina.
Reconocimiento facial.
Voz.
Aliento.
Escritura.
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
o Lightweight Extensible Authentication Protocol (LEAP): sistema inicial,
creado por CISCO en el que las credenciales del usuario no se consideran
protegidas suficientemente.
DIAMETER
17
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
Kerberos
IPsec es un mecanismo de seguridad, que opera en la capa 3 del modelo OSI, y que se utiliza
sobre tramas IP para cifrarlas y autenticarlas (garantizando integridad y origen de las mismas).
Funciona en dos modos:
Modo transporte: Para tráfico entre dos máquinas. Solo la carga útil es cifrada o
autenticada, y no se modifica la cabecera IP, por lo que el routing no se ve afectado.
No obstante, si se usa con el protocolo AH (Authentication Header), la dirección IP no
se puede traducir puesto que alteraría el valor del hash. Se ha definido la modalidad
NAT-Transversal para solucionar esta cuestión.
Modo túnel: Todo el paquete IP, incluidas cabeceras, es cifrado o autenticado, por lo
que se encapsula en un nuevo paquete IP que es enrutado. Se despliegan así túneles
entre routers para crear VPN.
IPsec incluye protocolos para establecer la autenticación mutua entre agentes, y el negociado
de claves temporales para la sesión. IPsec es parte por defecto de IPv6, mientras que en IPv4
es opcional. Los algoritmos criptográficos definidos para usar con IPsec incluyen HMAC-SHA1
para protección de integridad, y Triple DES-CBC y AES-CBC para confidencialidad.
IKE (Internet Key Exchange): este protocolo crea la llamada SA (Security Association).
Esta SA consta de los protocolos y algoritmos para generar las claves temporales
usadas por IPsec.
18
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
extremo a extremo, y se encuentra en su versión 1.2. El original SSL fue desarrollado por
Netscape. TLS proporciona:
Cifrado hasta el límite de la cabecera HTTP (para posibilitar su lectura por routers).
Autenticación mutua (con autenticación de cliente opcional).
El protocolo suele utilizar autenticación de servidor mediante certificado digital. De esta forma
el usuario tiene certeza de la identidad del servidor al que se está conectando. La autenticación
mutua, que es opcional en el protocolo, permite que junto con una PKI el usuario pueda
autenticarse ante el servidor con su certificado digital.
Este protocolo se utiliza en el nivel inferior de ciertas aplicaciones conocidas de Internet, entre
las que destacan:
19
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
(1) ClientHello: con la versión de SSL, los algoritmos soportados, y un número aleatorio.
(2) ServerHello: con la versión elegida del protocolo, el algoritmo elegido, y un número
aleatorio. También envía el certificado del servidor. En el caso de requerir un certificado
del usuario, envía también una solicitud del certificado del cliente
(3) Verify server Certificate: El cliente SSL verifica el certificado del servidor SSL y
comprueba que la suite de cifrado elegida por el servidor es aceptada
(4) ClientKeyExchange: Se intercambia unos datos aleatorios (utilizados para la
generación de la clave simétrica de sesión) cifrada con la clave pública del servidor
(5) Send client Certificate: en el caso de que el servidor solicitase un certificado de
cliente. En el caso de autenticación de cliente el cliente envía un CertificateVerify, que
firma toda la conversación hasta ahora con la clave privada asociada al certificado de
usuario.
(6) Verify Client Certificate: En el caso de autenticación de cliente, el servidor verifica el
certificado cliente
El cliente y el servidor, utilizando los números aleatorios y la clave previa generan la
denominada clave maestra y las claves simétricas de sesión.
(7) Client finished. El cliente envía al servidor un mensaje de finalización indicando que la
parte del cliente del protocolo handshake ha finalizado. El mensaje es cifrado con la
clave simétrica.
(8) Server finished. El servidor envía un mensaje indicando que la parte del servidor en el
protocolo handshake ha finalizado. El mensaje es cifrado con la clave simétrica.
(9) Finished: conteniendo toda la conversación cifrado con la clave simétrica. Si falla por
parte del cliente, se aborta la conexión.
20
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
Fragmenta la información proveniente de la capa de aplicación en bloques
manejables.
Comprime y descomprime la información de los bloques.
Aplica un MAC (Message Authentication Code) o un hash para que se pueda
comprobar la integridad de la trama enviada.
Cifra y descifra los datos enviados y recibidos.
Por último, es destacable que en los tiempos actuales en los que en las redes privadas casi
todas las conexiones hacia afuera están filtrados por un proxy, las VPN basadas en SSL (en
lugar de IPSec) están ganando importancia.
Consisten en la realización de una conexión TLS (generalmente sobre el puerto 443), donde en
vez de tráfico web seguro lo que se envía es tráfico de nivel 3. Estos sistemas suelen usar un
applet en el equipo cliente que desea conectarse a la VPN, por lo que se convierten en
sistemas con muy poco impacto de implantación y alta eficiencia. Además, se puede tunelizar
no solamente tráfico de red, sino terminales remotas de otras aplicaciones.
De esta forma, OASIS (Organization for the Advancement of Structured Information Standards)
desarrolla una especificación de seguridad basada en XML para el intercambio de información
de autorización y autenticación que denomina SAML. SAML especifica el formato de las
sentencias a utilizar y un protocolo de solicitud/respuesta para este intercambio.
WEP (Wired Equivalent Privacy). Sistema de cifrado para el estándar IEEE 802.11
como protocolo para redes WiFi. Se han descubierto muchas vulnerabilidades del
sistema de cifrado WEP, lo que permiten conseguir la clave de conexión en muy poco
tiempo. IEEE declaró WEP obsoleto en 2004 y no se recomienda su uso.
WPA (Wi-Fi Protected Access). Sistema creado para corregir las deficiencias del
anterior, pero se consideraba una opción temporal. Emplea el cifrado con claves
dinámicas. En WPA existen varias vulnerabilidades y se desaconseja su uso.
21
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
WPA-2. Soluciona problemas de seguridad de la versión anterior y utiliza cifrado
simétrico AES. WPA-2 se considera la opción más adecuada, pero tampoco está libre
de ataques. Se puede obtener la clave de WPA-2 con ataques de fuerza bruta, aunque
debe tenerse en cuenta que el ataque será más complejo según aumenta el tamaño de
la clave elegida.
En resumen:
El Centro Criptológico Nacional (CCN) ha publicado varias guías de seguridad para dispositivos
móviles. Por ejemplo, en agosto de 2014 se publicaron las guías CCN-STIC 454 y 455 con las
recomendaciones de seguridad en móviles basados en el sistema operativo iOS (iPhone e
iPad).
4. Técnicas criptográficas
Estas técnicas han sido estudiadas en el tema 72 y en consecuencia no se repetirá aquí su
exposición.
22
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
5. Mecanismos y formatos de firma digital
Por mecanismo se entiende la matemática asociada para generar una firma digital. Los
mecanismos, técnicas y algoritmos criptográficos, sin especificar formatos, han sido tratados en
temas anteriores y no se repetirán aquí.
Por otra parte, los documentos firmados digitalmente deben seguir un formato estandarizado,
para poder ser comprendido por cualquier otro usuario. Los formatos principales de firma digital
son PKCS#7/CMS, Firma XML, CAdES y PAdES.
La especificación técnica ETSI TS 101 733 (que próximamente será actualizada en el estándar
EN 319 122) describe el formato CAdES y diferentes perfiles para este tipo de firma:
23
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
CAdES-T Firma con sello de tiempo (Time-
stamped).
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
5.3.1. XMLDSig
La firma XML es una recomendación del W3C que define una sintaxis XML para soporte de la
firma digital. Funcionalmente tiene muchas similitudes con PKCS#7, si bien está más indicado
para la firma de documentos XML. XMLDSig puede firmar cualquier tipo de dato o recurso,
siempre que sea definible mediante una URL. En relación con la situación de los datos que se
van a firmar con respecto a su firma podemos tener la siguiente clasificación:
Enveloped Signature: en la que la firma se añade al final del documento XML como
un elemento más, en un archivo único. Se firma todo lo inmediatamente anterior.
25
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
Enveloping Signature: en la que el documento se incluye dentro de la firma en la que
se referencia lo firmado como objeto insertado en la firma. Este modelo permite
distinguir lo que se firma, pudiendo firmar el objeto entero o partes de él (asignando un
id diferenciador). El contenido que se desea firmar engloba a la firma.
Este tipo de firma, si bien puede cargar a veces los sistemas, es utilizado
especialmente por los servicios Web y SOAP.
5.3.2. XAdES
XAdES especifica perfiles XMLDSig para ser usados con firma electrónica avanzada. La
especificación técnica de ETSI TS 101 903 (que próximamente será actualizado en el estándar
EN 319 132) describe el formato XAdES y diferentes perfiles para este tipo de firma.
De forma equivalente a CAdES, XAdES define perfiles (formatos) según el nivel de protección
ofrecido. Cada perfil incluye y extiende al previo:
XAdES-BES (Basic Electronic Signature), forma básica que simplemente cumple los
requisitos legales de la firma electrónica avanzada.
26
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
XAdES-X (eXtended), añade sellos de tiempo a las referencias introducidas por
XAdES-C para evitar que pueda verse comprometida en el futuro una cadena de
certificados.
5.4. PAdES
PAdES especifica perfiles para el uso de la firma electrónica avanzada con documentos PDF.
Se firma y valida con Acrobat Reader, y se puede realizar la personalización de la firma
mediante imágenes, además de incorporación de información de validación, firmas visibles e
invisibles, creación de políticas de firma, integración con el repositorio de confianza de
Windows, y firma selectiva de campos.
La especificación técnica ETSI TS 102 778 describe el formato PAdES. La firma es codificada
como un objeto binario usando CMS o formatos como PKCS#7 y CAdES. El contenido y el
formato específico de la firma dependen del perfil definido.
PAdES Basic. Perfil básico que cumple con los requisitos de la norma ISO 32000-1.
PAdES-LTV Profile (Long Term). Es el formato de firma longeva. Puede ser usado en
conjunción con el PAdES-CMS, PAdES-BES o perfiles PAdES-EPES. Garantiza la
validación a largo plazo y se consiguen firmas con las mismas características de
longevidad que las firmas CAdES-XL y CAdES-A.
La especificación técnica ETSI TS 102 918 describe el formato ASiC. Se prevé que esta norma
sea la EN 319 412 en el futuro marco de estandarización sobre firma que está llevando a cabo
ETSI/CEN en ejecución del Mandato M/460 de la Comisión Europea.
27
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
6. Control de Intrusiones
Tal y como se explicó al principio de este documento, la seguridad es un concepto relativo.
Podemos considerar una red como suficientemente segura, pero es imposible garantizar que
no va a recibir ningún ataque ni intento de acceso no autorizado, ni que la respuesta va a ser
siempre adecuada. La monitorización del estado y comportamiento de la red se convierte en
una necesidad, que tiene por objeto la detección de posibles ataques y vulnerabilidades. Los
sistemas que a continuación se citan son ejemplos de soluciones tecnológicas que permiten
detectar y controlar las intrusiones en sistemas y redes.
Host-based intrusion detection system (HIDS): IDS software que analiza todos los
logs de un equipo. El IDS reside generalmente dentro del propio equipo monitorizado.
Los IDS pueden asumir acciones de respuesta ante intrusiones y ser más activos, pero lo
habitual es separar esta función en los sistemas de prevención de intrusión IPS.
El despliegue de los sistemas IPS, dentro de una red, es diferente a los IDS y se sitúan de
forma diferente. Como se ha comentado, los IDS se colocan en puertos de los switches donde
se vuelca toda la información de la red de forma replicada, mientras que los IPS se ubican en
los enlaces más importantes, de forma que el tráfico se curse a través de ellos, y puedan así
ser más efectivos a la hora de eliminar tráfico malicioso. Cuando se colocan los IPS, al poder
convertirse en un único punto de fallo de toda la red, se debe asegurar que la red continúe
operando en esa eventualidad. De esta forma, los IPS vienen equipados con técnicas de
redundancia y se suelen configurar en alta disponibilidad. Estos appliances actualmente están
teniendo gran éxito en el mercado.
28
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
6.3. Los gestores de eventos (análisis de Logs)
En las grandes redes donde los IDS de red no tienen suficiente información para poder detectar
ataques, es necesaria una gestión centralizada de todos los eventos relacionados con patrones
sospechosos y una monitorización de la infraestructura. Asimismo, debe existir una correlación
de eventos y una visibilidad conjunta de los diferentes sistemas de seguridad (cortafuegos,
IDS, IPS, etc).
7. Cortafuegos (Firewalls)
Los cortafuegos analizan los paquetes y en función del nivel del análisis, y las políticas según
las que estén configurados, efectuarán determinadas acciones sobre el tráfico. El modo de
funcionamiento típico de un firewall es el siguiente:
Si el tráfico cumple los patrones de alguna política (como por ejemplo “puerto TCP de
destino 53”) entonces se aplica la acción predefinida en la regla correspondiente (por
ejemplo “DENY”).
Si el tráfico no cumple ninguna regla del firewall, se aplicará la regla por defecto. Para
definirla, siempre, en la última regla de prioridad se configura una de estas dos
políticas: “ACCEPT ALL” o “DENY ALL”, que constituyen las políticas por defecto. En
general, es altamente recomendable dejar como política por defecto “DENY ALL”,
sobre todo si el firewall está expuesto a Internet. Para las LAN corporativas, depende
de las decisiones de los administradores de red.
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
Política permisiva: Se permite todo el tráfico excepto el que esté explícitamente
denegado. Cada servicio potencialmente peligroso necesitará ser aislado básicamente
caso por caso, mientras que el resto del tráfico no será filtrado (“ACCEPT ALL” como
política por defecto).
La política restrictiva es la más segura, ya que es más difícil permitir por error tráfico
potencialmente peligroso y es la que debe utilizarse en empresas y organismos.
National Institute of Standards and Technology (NIST) ha publicado la Special Publication 800-
41 con, con una serie de directivas y consejos para ayudar a los administradores de seguridad
en la implementación de los sistemas de filtrado perimetral
Su funcionamiento consiste en reconstruir los paquetes a ese nivel de aplicación, por lo que
requieren elevada memoria y capacidad de procesamiento. Comprueban que las peticiones se
adecúen a las políticas especificadas (por ejemplo, no descargar mediante ftp ningún archivo
“.exe”, o realizar escaneo de antivirus de los archivos descargados). Al funcionar a nivel de
aplicación, deben reconstruir las tramas para poder analizar la petición completa.
Se debe destacar dentro de estos cortafuegos a los proxys. El proxy controla el tráfico de un
determinado protocolo (como HTTP) y permite controlar los sitios web a los que los usuarios se
30
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
conectan así como llevar un registro de las conexiones. Este tipo de cortafuegos permite
servicios avanzados de políticas, como filtrar las web de contenido malicioso actualizando las
listas desde Internet.
Redes privadas virtuales (VPN – Virtual Private Network): al estar conectados en los
perímetros de las redes, suelen acompañar la posibilidad de crear conexiones VPN tipo
túnel para acceder a la red de la organización. El equipo que crea los túneles VPN no
se coloca detrás del cortafuegos, ya que en ese caso el tráfico cifrado entrante y
saliente generado por el servidor VPN no podría ser inspeccionado.
31
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
Integración con IDS e IPS: por su especial ubicación en las redes, estos dispositivos
son idóneos para realizar las funciones de IDS e IPS ya que todo el tráfico debe pasar
por ellos.
32
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
Una parte importante de la seguridad de una aplicación es por tanto dictada por cómo de
segura es su interfaz. A continuación se describen los puntos a tener más en cuenta en lo que
respecta a la seguridad en las interfaces de usuario así como las amenazas que presentan y
posibles salvaguardas:
- Robo de identidad. Esta amenaza ocurre cuando el intruso se hace pasar por una
entidad diferente. Como salvaguardas potenciales, la organización debe concienciar a
los usuarios en la aplicación de buenas prácticas en la elección de contraseñas, e
implantar sistemas de robustez para las claves (caducidad, control de sintaxis, etc.).
Debe evitarse el acceso a información como el software que es utilizado tanto a nivel de
servidor como a nivel de base de datos, dirección IP o direcciones donde se encuentran
33
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
documentos privados. El programador de las aplicaciones debe prestar especial atención al
manejo de excepciones apoyándose en las facilidades que proporcionan los lenguajes de
programación en este sentido.
Violación del formato de los datos. Se introduce datos sin la sintaxis correcta, fuera de
los límites de longitud, que contenga caracteres no permitidos, con signo incorrecto o
fuera de los límites del rango.
Incumplimiento de las reglas de negocio Se introducen datos que no cumplen con las
reglas de negocio.
Los ataques más importantes relacionados con la explotación de estas vulnerabilidades son:
Hoy en día es muy común que las aplicaciones web se apoyen en Javascript y otros
lenguajes de scripting para realizar validaciones en el navegador del usuario en lugar
de en el servidor. El motivo es la eficiencia y el rendimiento, pero se debe prestar
especial atención, ya que es aprovechada en numerosas ocasiones para perpetrar
ataques de seguridad.
34
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
Para evitar estas vulnerabilidades, existen varios tipos de validación de datos:
- Validación del tipo de datos. Gestiona que los datos introducidos sean del tipo que se
esperan. Es decir si se espera un número entero que efectivamente se reciba un
número entero.
- Comprobación del código. Para aquellos casos donde haya que comprobar a nivel de
código que los datos introducidos son realmente posibles.
35
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
Arquitectura de referencia planteada por W3C para los servicios web
La arquitectura de los web services permite que los servicios sean dinámicamente descriptivos,
publicados, descubiertos e invocados en un ambiente distribuido.
- Simple Object Access Protocol (SOAP): Protocolo simple de acceso a objetos, para
intercambiar información de distintos agentes en sitios distribuidos. Permite que un servicio
web se comunique con otro mediante protocolos HTTP y TCP/IP. SOAP utiliza XML para
codificar mensajes.
- Universal Description Discovery and Integration (UDDI): Se utiliza para localizar el
servicio web en cuestión. Es un registro por medio del cual las aplicaciones y los web
services pueden anunciarse y encontrar otros web services.
36
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
que intervienen en toda comunicación entre un emisor y un receptor: autenticación, integridad,
confidencialidad y no repudio. Además hay que añadir el proceso de autorización.
Autenticación
Los tokens son, para fines prácticos, llaves de acceso a miembros inherentes a una aplicación
o servicio. Dependiendo de la estrategia a seguir, el uso de tokens para autenticar y mantener
el acceso al servicio web, puede ofrecer, entre otras, las siguientes ventajas:
Autorización
La autorización es vital para efectuar un control sobre el acceso a los recursos. Las técnicas
empleadas para la autorización de servicios web no difieren de las empleadas en otras
tecnologías y están basadas en una adecuada gestión de los privilegios de los participantes.
Se usan técnicas de cifrado para garantizar la confidencialidad, así como la firma digital para
hacer lo propio con la integridad.
No repudio
Para evitar el no repudio en el contexto de los servicios web, los mensajes SOAP
intercambiados deberán ser identificados mediante las especificaciones WS-Addressing.
Los mensajes SOAP, por su parte, deben ser firmados siguiendo las indicaciones de WS
Security. Asimismo, los mensajes intercambiados deberían ser almacenados en ficheros, para
su ulterior consulta.
8.3.2. WS-Security
Se trata de un protocolo de comunicaciones que suministra un medio para aplicar seguridad a
los servicios web. Describe la forma de asegurar los servicios web en el nivel de los mensajes,
en lugar de en el del protocolo de transferencia como SSL o TLS. Éstos últimos protocolos,
pese a ofrecer una solución sólida a comunicaciones punto a punto, presentan importantes
limitaciones cuando un servicio intermedio debe acceder al contenido del mensaje.
WS-Security tiene como objetivo principal describir la forma de firmar y de cifrar mensajes de
tipo SOAP. De esta forma, se asegura que los datos intercambiados entre el cliente y el
servidor sean confidenciales. Se requiere una solución que garantice la seguridad extremo a
extremo.
Se basa en estándares para dotar a los mensajes SOAP de los criterios de seguridad
necesarios. No especifica el formato de la firma ni el cifrado ni el mecanismo de autenticación
usado. El objetivo es incluir la información utilizada de estos formatos y mecanismos en el
mensaje SOAP. Así, se definen cabeceras y se utiliza XML-Signature para el manejo de firmas
37
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
en el mensaje. El cifrado de la información se realiza mediante XML-Encryption. También se
hace uso del intercambio de credenciales de los clientes.
Integridad: se consigue mediante firmas digitales XML, que permiten garantizar que no
se han alterado partes del mensaje desde que lo firmó el emisor. La solución dada por
WS-Security especifica cómo incluirlo en la cabecera SOAP.
38
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
8.3.3. Especificaciones que atañen a la seguridad en servicios web
Tal y como se ha comentado, los estándares que se están desarrollando por W3C y otros
organismos, basados en XML, tratan de asegurar la confidencialidad, integridad y
disponibilidad de los servicios web. A continuación se ofrece una breve descripción de los más
significativos:
XML Encryption
Se trata de una recomendación del W3C que especifica un proceso para cifrar datos (no
únicamente documentos XML) y representar esa información cifrada a su vez en XML para que
se curse por los medios de transmisión. Esta especificación permite cifrar de manera selectiva
documentos XML, y es ampliamente utilizado para proteger las comunicaciones entre servicios
web.
Se trata de una interfaz estándar abierta para la gestión de claves, que permite una fácil
implementación de PKI en aplicaciones web, incluidos servicios web. Permite manejar los
procesos de registro y revocación del servicio PKI. Está compuesto de dos elementos
importantes: el procesamiento de la información asociada con una firma o datos cifrados (X-
39
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
KISS - XML Key Information Service Specification) y el registro del par de claves (X-RKSS -
XML Key Registration Service Specification) de criptografía de clave pública.
Se define XACML como un estándar basado en la especificación XML para definir políticas de
control de acceso. También define cómo es la estructura de intercambio de mensajes de
autorización y un modelo para organizar y almacenar la información de autorización
Según el informe de Verizon Data Breach, en 2012, el 96% de los registros que fueron
vulnerados provenían de bases de datos. Esto puede explicar por qué los ataques externos,
tales como inyección de SQL, son tan frecuentes actualmente. Sin embargo, diferentes
estudios testifican que es escaso el presupuesto de TI que va destinado a mejorar la seguridad
de estos sistemas, que pueden contener datos críticos y expuestos a ataques, hasta tal punto
que gran parte de los usuarios de Oracle aún tienen algún parche ausente en sus gestores de
bases de datos.
- Mala gestión de privilegios. Otorgar más privilegios en la base de datos que exceden
los requisitos de un puesto de trabajo o rol determinado. Los usuarios sólo deben
recibir privilegios a través de grupos o funciones siendo manejados colectivamente.
40
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
- Configuración incorrecta o ineficiente. Es necesario deshabilitar funcionalidades de
base de datos que no se utilicen y desactivar configuraciones inseguras que podrían
estar activadas por defecto.
- Datos sensibles sin cifrar. Se almacenan los datos sensibles en las tablas sin aplicar
ningún cifrado sobre ellos.
El principal ataque contra la Base de Datos es el ataque por inyección de código, en concreto
el ataque de Inyección SQL. Según la definición de OWASP, un ataque por inyección SQL
consiste en la inserción o “inyección” de una consulta SQL por medio de los datos de entrada
desde el cliente hacia la aplicación con la finalizad de efectuar la ejecución de comandos SQL
prefinidos y poder insertar código intruso o malicioso. Las inyecciones SQL explotan la
vulnerabilidad que radica en la incorrecta comprobación de las variables utilizadas con el
código SQL.
Asignar mínimos privilegios al usuario que conecta a la base de datos. El usuario debe
tener los privilegios mínimos suficientes para realizar las acciones que necesite.
Revisar el código dentro del programa que inserte SQL y realizar auditorías de código,
vigilando sentencias tales como: EXECUTE o EXEC.
41
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.
9. Referencias
42
111. – La seguridad en redes. Control de accesos. Técnicas criptográficas. Mecanismos de firma digital. Control de
intrusiones. Cortafuegos. Seguridad en nivel de aplicación: protección de servicios web, bases de datos e interfaces de
usuario.
.