Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Hsts Security Policy Or Strict Http Transport Security And Its Implementation In Web Environments
Anderson S Flórez1*
UNIPAMPLONA
José G Chacón2
UNIPAMPLONA
Renzo A Chía33
UNIPAMPLONA
Albenis E Flórez4
UNIPAMPLONA
Johel E Rodriguez5 5
UNIPAMPLONA
© 2021 Universidad de Córdoba. Este es un artículo de acceso abierto distribuido bajo los términos de la licencia Creative Commons Attribution License, que permite el uso ilimitado, distribución y reproducción en cualquier medio,
siempre que el autor original y la fuente se acreditan.
1
Ing. Sistemas, Profesor OC UNIPAMPLONA, Villa del Rosario, Colombia.
2
Msc Ciencias de la computación, Profesor TCO, Villa del Rosario, Colombia, Correo: jose.chacon@unipamplona.edu.co
3
Ing. Sistemas, Egresado UNIPAMPLONA, Villa del Rosario, Colombia
4
Ing. Sistemas, Egresado UNIPAMPLONA, Villa del Rosario, Colombia
5
5Msc TIC, Docente UNISIMON, Cúcuta, Colombia
Política De Seguridad Hsts
RESUMEN ABSTRACT
Este articulo consiste en determinar y
mejorar la seguridad en aplicaciones web, This article consists of determining and
utilizando la política de seguridad estricta improving security in web applications, using
HSTS en un servidor web Apache, la cual HSTS security policy on an Apache web
permitirá a los usuarios mediante un server, which will allow users through a web
navegador web solo visualizar páginas web browser to only view web pages with https,
con https, bloqueando las páginas que no blocking pages that do not have the layer SSL
posean la capa de seguridad SSL/TLS. Secure / TLS security. Secure Sockets Layer (SSL)
Sockets Layer (SSL capa de puertos seguro) and Transport Layer Security (TLS) in its web
y Transport Layer Security (TLS seguridad protocol and in turn protect the information
de la capa de transporte) en su protocolo that the user has, so that the attackers cannot
web y a su vez proteger la información que convert the web page With the https security
el usuario dispone, de tal forma que los protocol on a page without http security
atacantes no podrán convertir la página web protocol, thus keeping this precious asset
con el protocolo de seguridad https en una securely protected, providing the user with
página sin protocolo de seguridad http, the confidentiality, integrity and availability
manteniendo así este bien preciado of the information.
protegido de manera segura, brindándole al
usuario la confidencialidad, integridad y KEYWORDS: Apache, Security,
disponibilidad de la información. Confidentiality, Availability, HSTS, Http, Https,
PALABRAS CLAVE: Apache, Seguridad, Integrity.
Confidencialidad, Disponibilidad, HSTS,
Http, Https, Integridad.
171
Política De Seguridad Hsts
172
Revista Ingeniería e Innovación
ISSN: 2346-0474 (En línea)
173
Política De Seguridad Hsts
174
Revista Ingeniería e Innovación
ISSN: 2346-0474 (En línea)
de HSTS, tal como se aplica por un UA (user que permiten a su portador para obtener las
agent) en confirman interacciones con una cookies de sesión de otros usuarios locales de
gran cantidad de recursos web que tienen ese diversas aplicaciones web. DEC Márquez, TV
tipo de política (conocido como un anfitrión Pérez (2018).
HSTS), se resumen así: Un atacante determinado puede montar
UA (user agent) transforman referencias un ataque activo, ya sea mediante la
inseguras URI (Uniforme Resource suplantación de identidad del servidor DNS
Identifier, es decir, identificador de recursos de un usuario o, en una red inalámbrica,
uniforme.) a un anfitrión en HSTS seguro de mediante la falsificación de tramas de red u
referencias URI antes de la eliminación de ofreciendo un punto de acceso gemelo
referencias. maligno denominado. Si el usuario está
El UA (user agent) termina cualquier detrás de un enrutador doméstico
intento de conexión de transporte seguro inalámbrico, un atacante puede intentar
sobre cualquier no seguro y todos los errores reconfigurar el enrutador usando contraseñas
o advertencias de transporte seguro. predeterminadas y otras vulnerabilidades.
HSTS se ocupa de tres clases de amenazas: Algunos sitios, como los bancos, se basan en
atacantes de red pasivos, atacantes de redes el transporte seguro de extremo a extremo
activas y desarrolladores webs imperfectos. para protegerse a sí mismos y a sus usuarios
Sin embargo, explícitamente no es un contra esos atacantes activos.
remedio para otras dos clases de amenazas: Desafortunadamente, los navegadores
phishing y malware. Las amenazas que se permiten a sus usuarios a optar fácilmente
abordan, así como las amenazas que se por estas protecciones para ser utilizables
abordan brevemente a continuación. para sitios que implementan incorrectamente
Amenazas abordadas.Los atacantes de red el transporte seguro, por ejemplo, generando
pasivos y firmando sus propios certificados (sin
Cuando un usuario navega por la web en distribuir su certificado de autoridad de
una red local inalámbrica (por ejemplo, una certificación Navegadores de los usuarios).
Red de área local inalámbrica 802.11 a base
de) un atacante cerca puede posiblemente La seguridad de un sitio de otro modo
espiar en el protocolo no cifrado de Internet seguro (es decir, todo su contenido se
del usuario conexiones, tales como HTTP, materializa a través de "https" URIs) puede
independientemente de si es o no lo local red ser comprometida completamente por un
inalámbrica en sí está asegurado. atacante activo que explora un simple error,
Herramientas de detección inalámbrica como la carga de una hoja de estilo en cascada
gratuitas (por ejemplo, [Aircrack-ng]) o un SWF (Shockwave Flash) sobre una
permiten tales ataques pasivos de escucha, conexión insegura (tanto las hojas de estilo
incluso si la red inalámbrica local está en cascada como las películas SWF pueden
funcionando de una manera segura. Un codificar la página de incrustación, para
atacante red pasiva hace uso de tales sorpresa de muchos desarrolladores web,
herramientas y puede secuestrar las sesiones además de algunos navegadores no emiten
web del usuario mediante la obtención de las llamadas "advertencias de contenido
cookies que contengan credenciales de mixto" Conexiones). Incluso si los
autenticación (Jackson & Barth, 2008). Por desarrolladores del sitio escudriñan
ejemplo, existen herramientas ampliamente cuidadosamente su página de inicio de sesión
disponibles, tales como Firesheep (una para "contenido mixto", una sola incrustación
extensión del navegador web) [ Firesheep], insegura en cualquier lugar del sitio global
175
Política De Seguridad Hsts
176
Revista Ingeniería e Innovación
ISSN: 2346-0474 (En línea)
177
Política De Seguridad Hsts
situación de error o una validación negativa, de seguridad estricta HSTS pueda funcionar
los mecanismos de seguridad deben correctamente y se puede llevar acabo la
diseñarse para que faciliten la mínima implementación del proyecto.
información posible. De la misma forma, Modelo entidad relación. En la figura 3 se
estos mecanismos deben estar diseñados para muestra modelo relacional de la base de datos
que una vez denegada una operación, para la aplicación web reporsoft.
cualquier operación posterior sea igualmente Subida de la aplicación al servidor web
denegada. apache2 Se procede a subir la aplicación al
Por tanto, no debemos fiarnos únicamente servidor web apache2. A continuación, pasos
de los mecanismos de seguridad "exteriores", a seguir:
sino que es preciso identificar cuáles son los Paso 1: Nos ubicamos en la siguiente ruta:
puntos precisos en los que deben establecerse equipo/var/www/html una vez acá creamos
las medidas de seguridad. Si nosotros no una carpeta con el nombre de la aplicación,
hacemos este trabajo, seguro que los para este proyecto la aplicación se llama
atacantes si lo harán. reporsoft, una vez creada la carpeta pegamos
Otros aspectos tratados en la guía son: nuestros archivos en esta. Si todo salió bien
consideraciones de arquitectura, mecanismos debería tener algo como esto:
de autenticación, gestión de sesiones de Paso 2: Darle permiso a la carpeta, Si no
usuario, control de acceso, registro de tenemos permiso para manipular su
actividad, prevención de problemas comunes, contenido, se lo damos con lo siguiente.
consideraciones de privacidad y criptografía. Cambiamos el propietario del directorio y el
(Van der Stock, 2005). La guía está grupo que debe usarlo. Reemplazar
compuesta como se muestra en la figura 2. USUARIO con el nombre de usuario que esté
Vulnerabilidades En La Web Son todos utilizando la terminal los siguientes
aquellos problemas de seguridad que afectan comandos: sudo chown -R USUARIO:www-
las páginas web, por lo general estos data /var/www
problemas permiten modificación y Se le dan permisos de lectura y ejecución
extracción de la información, lo cual es muy para todos y de escritura sólo al propietario:
grave para las organizaciones; la mayoría de sudo chmod -R 755 /var/www.
estos son registrados por medio de un Paso 3: Comprobar que se allá subido
identificador de CVE (CommonVulnerabilty correctamente la aplicación web al servidor
Exposure) el cual es un diccionario de los web apache2, para ello abrimos una ventana
problemas encontrados en la internet. Estos en el navegador y colocar localhost seguido
son algunos de esos problemas de seguridad: del nombre de la carpeta donde se encuentra
Inyección de código SQL.(“PHP: la aplicación web: localhost/reportsoft
Inyección de SQL - Manual,” 2008)., Configuración de los módulos del servidor
Ejecución de comandos (Command apache2. Para que la política de seguridad
Execution), Desbordamiento de buffer estricta HSTS funcione en el servidor
(Buffer Overflow), Denegación de servicio apache2, deben Estar habilitados los
(DoS), IMPLEMENTACIÓN DE HSTS EN siguientes modulo: el modulo del ssl y el
DESARROLLOS WEB LOCALES. módulo header. Se procede a habilitar los
En esta sesión se realizara la módulos ssl y header respectivamente: A
implementación de la política de seguridad continuación, pasos a seguir:
HTTP Strict Transport Security (HSTS) en Paso 1: Abrir una terminal y copiar el
un servidor web Apache bajo sistema siguiente comando: sudo a2enmod ssl luego
operativo Ubuntu. SERVIDOR APACHE2. reiniciamos
En este servidor se hará la configuración El servidor apache: sudo service apache2
necesaria de los archivos para que la política restart, luego copiar el siguiente comando:
178
Revista Ingeniería e Innovación
ISSN: 2346-0474 (En línea)
179
Política De Seguridad Hsts
REFERENCIAS
3. DISCUSIÓN
La implementación de protocolos de [1]. Ajax | MDN. (2016). Retrieved May 17,
seguridad desde la apertura de la página web 2017, from https://developer.mozilla.org/en-
le brinda al usuario final la certeza, de realizar US/docs/AJAX
cualquier procedimiento, sea de consulta, [2]. An overview of HTTP - HTTP | MDN.
diligenciamiento de formularios o incluso
(2017). Retrieved May 17, 2017, from
transacciones o pagos, procesos
transparentes muchas veces para estos https://developer.mozilla.org/en-
usuario pero de mucha utilidad a la hora de US/docs/Web/HTTP/Overview
realizar todas las transacciones. [3]. Blog de seguridad de Google en línea:
Llevar HSTS a www.google.com. (2016).
Retrieved May 16, 2017, from
https://security.googleblog.com/2016/07/brin
4. CONCLUSIONES ging-hsts-to-wwwgooglecom.html
[4]. Can I use... Support tables for HTML5,
La implementación de protocolos de CSS3, etc. (2015). Retrieved May 16, 2017, from
seguridad desde la apertura de la página web http://caniuse.com/#feat=stricttransportsecuri
le brinda al usuario final la certeza, de realizar ty
cualquier procedimiento, sea de consulta, [5]. Castro Márquez, D. E. ., Velásquez
diligenciamiento de formularios o incluso Pérez, T., & Castro Silva, H. F. (2020).
transacciones o pagos, procesos
Integración de seguridad y gestión de servicios
transparentes muchas veces para estos
en el gobierno de las tecnologías de la
usuario pero de mucha utilidad a la hora de
realizar todas las transacciones. información. Revista Colombiana de
El uso e implementación de esta Tecnologías de Avanzada, 2(32), 62-67.
política de seguridad (HSTS) en el servidor https://doi.org/10.24054/16927257.v32.n32.2
web apache ayuda a que este, solo muestre 018.108
páginas web con que tengan el protocolo [6]. CSS | MDN. (2016). Retrieved May 17,
HTTPS, así las páginas web están más
2017, from
seguras si se ven envueltas en un ataque.
El protocolo HTTPS el atacante puede https://developer.mozilla.org/es/docs/Web/CS
capturar los datos trasmitidos, pero lo que no S
puede es descifrar la información ya que esta [7]. CSS 3 - CSS | MDN. (2016). Retrieved
encriptada. May 17, 2017, from
El protocolo HTTP es más fácil de https://developer.mozilla.org/en-
vulnerar un atacante puede capturar todos los US/docs/Web/CSS/CSS3
datos que se están transmitiendo este
[8]. DEC Márquez, TV Pérez (2018).
protocolo y asa conseguir la información que
es el bien más preciado de toda empresa o Integración de seguridad y gestión de
entidad. servicios en el gobierno de las tecnologías de la
información 2018 ISSN: 1692-7257 - Vol2 –
N 32 - 2018. DEC Márquez, TV Pérez (2018).
Integración de seguridad y gestión de
servicios en el gobierno de las tecnologías de la
180
Revista Ingeniería e Innovación
ISSN: 2346-0474 (En línea)
181
Política De Seguridad Hsts
Figura 1 Los clientes y los servidores se comunican mediante el intercambio de mensajes individuales (en contraposición a una
corriente de datos.
Fuente: https://developer.mozilla.org/en-US/docs/Web/HTTP/Overview
Fuente: https://www.owasp.org/images/b/b2/OWASP_Development_Guide_2.0.1_Spanish.pdf
182
Revista Ingeniería e Innovación
ISSN: 2346-0474 (En línea)
183