|
Conexiones seguras y
seguridad en el www
Por: Miguel Angel Fraga
En un sistema conectado al Internet u otra red sin prestar
la debida atención a los temas de seguridad, la información que se recibe pudo haber
sido modificada en su tránsito, o puede no provenir del sitio del cual se cree que
proviene. De igual manera, la información enviada puede ser interceptada en el camino,
puede ser desviada o puede ser leída por personas no autorizadas.
En una red insegura, se pueden incrementar los controles en
la seguridad para suplir las deficiencias. La realidad muestra que resulta más
beneficioso considerar la mejora en la seguridad de la red, ya que de esta forma se
evitarán sistemas y aplicaciones robustas, redundando en una sustancial mejora en la
performance y los costos.
También debe considerarse la seguridad en el sistema
utilizado. La seguridad en el sistema concierne a la protección del sistema y su entorno
local, que funciona como extremo de una comunicación y donde corre la aplicación (pero
sin incluir a estos últimos).
A la seguridad en el sistema corresponden medidas
tales como:
- Verificar que los proveedores de software sean confiables.
- Asegurar que el software instalado se encuentre libre de
debilidades de seguridad.
- Actualizar periódicamente el software instalado con las
últimas versiones o actualizaciones para minimizar los puntos débiles que todo software
posee.
- Asegurar un sistema libre de virus y de trojan horses.
- Minimizar los riesgos de penetración (restringiendo, por
ejemplo, los ports a Internet que no son utilizados).
- Prohibir la utilización de modems dentro de nuestra red.
- Asegurar una eficiente administración de los accesos al
sistema, en elementos tales como: passwords que expiren en periodos cortos, no admitir
passwords triviales, eliminación de cuentas obsoletas, etc.
Seguridad en la www
La seguridad en la www (World Wide Web), puede dividirse en
dos categorías:
- La primera, se refiere a los riesgos a los que se ve
expuesto un servidor Web, tal como la exposición de documentos a personas no autorizadas,
o la posibilidad de que un cracker de ejecute código malicioso en dicho servidor.
- La segunda, se refiere a comprometer las comunicaciones de
los usuarios, tal como la captura de números de tarjeta de crédito, o cualquier otra
información sensible que tenga algún valor en manos de personas inescrupulosas.
Para solucionar estos problemas, es necesario aplicar
protocolos de seguridad para Web en servidores y navegadores (browsers). Los más
utilizados son: SSL (Secure Socket Layer) y TLS (Transport Layer Security).
¿Cuál es el problema de la seguridad en los servidores?
Como ya dijimos, el problema se presenta cuando usted completa, por ejemplo, un formulario
colocando su información personal (e inclusive el número de alguna de sus tarjetas de
crédito) y lo envía a un servidor Web, usted está enviando los datos contenidos en
dicho formulario al Internet. Estos datos son transmitidos por el Internet pasando de
máquina en máquina hasta llegar al destinatario.
El peligro es que sus datos puedan ser recogidos (robados) en cualquiera de las máquinas
por las cuales pasan en el proceso de transmisión y caer en manos de cualquiera.
¿Qué es un servidor seguro?
Un servidor seguro le garantiza la privacidad de los datos que usted transmite por la red.
Dicha privacidad se consigue mediante un protocolo que brinde seguridad en la transmisión
de información. La seguridad es el resultado de la comunicación entre un navegador que
soporte el protocolo y un servidor que también soporte el mismo protocolo. Las
últimas versiones de los navegadores Netscape Communicator y Microsoft Internet
Explorer soportan protocolos que brindan seguridad en la transmisión de información
como, por ejemplo, SSL y TLS.
¿Cómo funciona el protocolo SSL?
Explicándolo en forma sencilla, tanto el navegador como el servidor Web acuerdan una
clave de encriptado para esa comunicación, a partir de allí, encriptan los datos que
usted envía hacia el servidor tanto como los que el servidor le envía a usted. De esta
forma si algún individuo, durante el proceso de transmisión, consigue apropiarse de la
información, no podrá leerlos ya que no dispone de las claves necesarias.
¿Cómo se puede saber que un servidor es seguro?
Lo sabe por la llave llena que aparece en la parte inferior izquierda de su navegador
Netscape, o por el candado que aparece en la parte inferior derecha de su navegador
Internet Explorer.
También se puede apreciar que la dirección con la que va a conectarse varía
ligeramente: ya que no empieza con "http://" sino con "https://".
En Netscape Communicator abriendo la ventana Ver (View) y posteriormente haciendo clic en
Información del Documento (Document Info) encontrará todo lo relativo al nivel de
seguridad de la comunicación con dicho servidor, su certificación, y la Autoridad de
Certificante (CA). Lo mismo sucede con Internet Explorer 4 ó 5, haciendo clic con
el botón derecho del mouse directamente sobre el documento que está visualizando,
seleccionando el item Propiedades y haciendo clic en el botón Certificados, obtendrá la
información relativa al nivel de seguridad de dicho servidor.
¿Qué es el certificado de seguridad?
Un certificado de seguridad lo concede una entidad certificadora: la Autoridad
Certificante. Esta entidad concede dicho certificado después de haber comprobado
los datos de la entidad solicitante. El certificado de servidor seguro se concede a una
entidad cuyas referencias han sido comprobadas, para asegurar que efectivamente quien
realizará las comunicaciones seguras es quien realmente dice que es y no alguien que
pretende hacerse pasar por otro.
Volver al Comienzo de Página
|