Documentos de Académico
Documentos de Profesional
Documentos de Cultura
APLICACIONES WEB
PROTOCOLO SSL (SECURE SOCKET LAYER)
PROTOCOLO S-HTTP
PROTOCOLO SET
PROTOCOLO SSL (SECURE SOCKET
LAYER)
La conexión es privada.- Se realiza un proceso de
autenticación inicial, para establecer una llave
secreta, después se utiliza criptografía simétrica
para el cifrado de datos.
Las identidades tanto del cliente como del
servidor, pueden ser autenticadas utilizando
criptografía asimétrica o de llave publica
La conexión es confiable.- el transporte de los
mensajes, incluye una revisión de la integridad del
mensaje, utilizando una MAC3 con llave, con
algoritmos seguros (SHA).
OBJETIVOS DEL PROTOCOLO SSL
Seguridad criptográfica
Interoperabilidad
Extensibilidad
Eficiencia relativa
El protocolo HTTPS es una versión segura del protocolo http, utiliza un sistema de
cifrado basado en la Secure Socket Layers (SSL), para crear un canal seguro cuyo
nivel de cifrado depende del servidor remoto y del navegador utilizado por el
cliente, más apropiado para el tráfico de información sensible que el protocolo
http, ambos protocolos pueden existir juntos, ya que los navegadores de hoy en
día, los soportan.
El protocolo http, fue originalmente utilizado en claro sobre Internet, sin embargo,
el uso reiterado de dicho protocolo en aplicaciones importantes, ha requerido que
algunas medidas de seguridad sean consideradas, por lo cual los protocolos SSL
y su sucesor TLS (ambos descritos previamente), fueran diseñados para ofrecer
seguridad en el canal de comunicación.
Inicio de una conexión.- El agente que actúa como el cliente http, también debería
actuar como el cliente TLS o SSL, y sería el encargado de iniciar una conexión al
servidor en el puerto apropiado, y enviar un mensaje de inicio del protocolo, por
ejemplo un mensaje del tipo TLS ClientHello para iniciar el protocolo de acuerdo
(handshake) sobre TLS. Una vez que el protocolo de acuerdo (handshake) ha
terminado, el cliente debe entonces iniciar la primera petición http; todos los
datos http deben ser enviados como datos de la aplicación TLS.
Fin de una conexión.- EL protocolo TLS ofrece una posibilidad de cerrar una
conexión de forma segura; cuando se recibe un mensaje de petición de cierre de
la conexión, una implementación debe asegurar que ya no se recibirán datos
después de haber cerrado dicha conexión.
Cuando HTTPS fue utilizado por primera vez por el navegador Netscape 2 en
1995, la estrategia utilizada fue la de usar dos puertos diferentes, el puerto
80 para http y el 443para HTTPS respectivamente.
PROTOCOLO SET
Transacción Electrónica Segura
CÓMO FUNCIONA SET
Cuando se realiza una transacción segura por medio de SET,
los datos del cliente son enviados al servidor del vendedor,
pero dicho vendedor sólo recibe la orden. Los números de la
tarjeta del banco se envían directamente al banco del
vendedor, quien podrá leer los detalles de la cuenta bancaria
del comprador y contactar con el banco para verificarlos en
tiempo real.
Qué se precisa para utilizar el Qué problemas plantea la
Protocolo SET utilización del SET
Fase 1 – Evaluación
En función del primer análisis y naturaleza de los Sistemas de Información, o red informática
en busca de intentos para comprometer la seguridad de dicho sistema:
Búsqueda de patrones previamente definidos que impliquen cualquier tipo de actividad
sospechosa o maliciosa sobre nuestra red o host.
Capacidad preventiva y de alerta anticipada ante cualquier actividad sospechosa.
Vigilan el tráfico de nuestra red, examinan los paquetes analizándolos en busca de datos
sospechosos y detectan las primeras fases de cualquier ataque como pueden ser el análisis de
nuestra red, barrido de puertos, etc.
Por el tipo de respuesta los clasificamos:
Pasivos: Son aquellos IDS que avisan a la autoridad competente o administrador de la red
mediante el sistema que sea (alerta, etc).
Activos: Generan algún tipo de respuesta sobre el sistema atacante o fuente de ataque como
cerrar la conexión o enviar algún tipo de respuesta predefinida en nuestra configuración.
Fase 3 – Test Externo Sistemas y Aplicaciones
Modo de ejecución
Tiempo de duración
Formularios
ESCALACION DE PRIVILEGIOS EN
APLICACIONES WEB
AUTENTIFICACIÓN
Es el proceso de determinar si un usuario es quien dice ser
Esto se puede hacer de varias maneras. Algunas de ellas son:
Autentificación HTTP básica
Autentificación basada en la aplicación