Professional Documents
Culture Documents
Existen diferentes mtodos de procesar transacciones en una compra, protocolos que lo hacen de manera segura, por lo tanto, echaremos un vistazo a lo que se refiere en seguridad con SSL. La seguridad de un sitio electrnico tiene que ser confiable para que el mismo tenga xito. Siendo franco, el ndice de personas que compran en lnea ha crecido bastante en los ltimos 2 aos. Y esto se debe a la confiabilidad que estn brindando los sitios de comercio electrnico. La seguridad en un ambiente de comercio electrnico involucra las siguientes partes:
Privacidad: que las transacciones no sean visualizadas por nadie. Integridad: que los datos o transacciones como nmeros de tarjeta de crditos o pedidos no sean alterados. No Repudio: posibilita que el que gener la transaccin se haga responsable de ella, y brinda la posibilidad de que este no la niegue. Autenticacin: que los que intervienen en la transaccin sean leales y vlidas. Facilidad: que las partes que intervienen en la transaccin no encuentren dificultad al hacer la transaccin.
Punto1:Usuario conectndose a Punto2 (un sitio de e-commerce como amazon.com) utilizando un navegador Internet Explorer compatible con el protocolo SSL. Punto2:El Punto2 como nombramos es un sitio de e-commerce tradicional (compra / venta) que establece conexiones seguras utilizando SSL para la transacciones, y tambin posee un Firewall para hacer filtrado de paquetes (Packet Filtering) Punto3:Este punto es la autoridad que emite los Certificados de Autenticidad, en ingls Certificate Authority (CA) que por seguridad y es recomendable que sea una tercera empresa el emisor del certificado no sea interno.
SSL es un protocolo que corre sobre TCP (protocolo de transporte punto a punto de Internet). Este se compone de dos capas y funciona de la siguiente manera:
La primera capa se encarga de encapsular los protocolos de nivel ms alto La segunda capa que se llama SSL Handshake Protocol se encarga de la negociacin de los algoritmos que van a encriptar y tambin la autenticacin entre el cliente y el servidor.
Cuando se realiza una conexin inicial el cliente lo primero que hace es enviar una informacin con todo los sistemas de encriptacin que soporta, el primero de la lista es el que prefiere utilizar el cliente. Entonces el servidor responde con una clave certificada e informacin sobre los sistemas de encriptacin que este soporta. Entonces el cliente seleccionar un sistema de encriptacin, tratar de desencriptar el mensaje y obtendr la clave pblica del servidor. Este mtodo de seguridad es de lo mejor ya que por cada conexin que se hace el servidor enva una clave diferente. Entonces si alguien consigue desencriptar la clave lo nico que podr hacer es cerrarnos la conexin que corresponde a esa clave. Cuando se logra el este primer proceso que es la sesin solamente, los que actuarn ahora son los protocolos de capa 7 del OSI o sea la capa de Aplicacin, claro que todo lo que se realice a partir de que tenemos una sesin SSL establecida estar encriptado con SSL.
Certificados
Un Certificate Authority (CA) es generalmente una empresa que emite certificados. Si el CA es una empresa externa que emite certificados de autenticidad de clientes o empresas. Por ejemplo: <A href="http://www.verisign.com/"> Versign.com
Dominio para el que se expidi (por ejemplo <A href="http://www.segurired.com/">http://www.segurired.com/) Dueo del Certificado Domicilio del Dueo Y la fecha de validez del mismo.
Estamos en un sitio comn, la barra de estado del Internet Explorer nos indica que estamos en un sitio de Zona Internet y la direccin en que estamos ubicados comienza con http://..
Ahora la siguiente pantalla nos mostrar cuando quiero hacer el Check Out o Pago de los libros que compr.
Ahora un pequeo candado me indica que estoy en un servidor seguro, y que puedo incluir mis datos. Otro indicador es la direccin de web que ahora comienza con https://. y no con http://. Pero si no confiamos, podemos hacer doble clic sobre el candado amarillo y obtendremos informacin sobre el certificado del servidor amazon.com
Esta es la informacin bsica del certificado, que nos confirma que si estamos conectados al servidor correcto que es amazon.com y el certificado fue emitido por un CA que es Verisign o sea una tercera empresa que no tiene que ver nada con la empresa de donde estamos haciendo compras. Haciendo clic en la pestaa Detalles podremos tener ms informacin tcnica sobre el Certificado:
El algoritmo utilizado, la versin de SSL, el algoritmo de identificacin, la fecha de valides que posee, entre otros. La fuerza de cifrado que esta utilizando RSA(1024bits) que es un cifrado muy fuerte. Volviendo a nuestro grfico de cmo funcionaba un sitio de e-commerce, identifiquemos los 3 puntos:
El Punto1: el usuario soy yo, me conecto al sitio Punto2 que es Amazon.com Punto2: me muestra los productos, que voy a comprar, yo los selecciono y proceso a ir al sitio seguro. Entonces el Punto2 me contacta con el Punto3, el cual me enva la direccin del certificado para el Punto2, donde me dice si es vlido o no. Utilizar SSL tiene beneficios grandes, ya que es un estndar no hace falta instalar ningn software adicional de lado del cliente, y tampoco de lado del servidor, ya que la mayora de los servidores web como son IIS (Internet Information Server) y Apache ya poseen soporte para SSL conexiones seguras. Los navegadores de Internet ms populares como lo son el Internet Explorer y el Netscape tambin ya poseen soporte para SSL. Tambin da una prueba de que su servidor web es su servidor web, es decir que est protegiendo la identidad de su sitio web. El 95% de los pagos de Internet se realizan utilizando hoy en da SSL. SSL no depende de ningn sistema operativo, es independiente, puede ser utilizado sobre cualquier plataforma, independiente.
El protocolo http normal "escucha" en el puerto 80, el puerto SSL por defecto "escucha" en el puerto 443 del servidor. Luego cuando el cliente se conecta al puerto 443 del servidor comienzan las primeras "negociaciones" de los protocolos, que ya hemos explicado ms arriba en este texto. Toda esta comunicacin es encriptada, hasta que se cierre la misma. Aparte de SSL existen otros protocolos como el SET creado por Mastercard y Visa junto con lideres de la informtica como Microsoft, Verisign y otras empresa ms. Junto con el CyberCash son soluciones creadas para la venta por Internet.
Confidencialidad (Privacidad) Integridad de los Mensajes (no modificaciones en el trayecto) Autenticacin No repudio (No poder denegar una accin en el mensaje emitido por un remitente) Control de Acceso: Solo usuarios autorizados pueden acceder.
Componentes:
Poltica de Seguridad: establece la manera en que una organizacin ejecutar procesos de gestin de claves pblicas y privadas. Autoridad Certificante (CA): del ingls Certificate Authority, se encarga de generar los Certificados Digitales, usando una clave privada para firmarlos. Otras funciones de una CA son: o Emitir Certificados o Revocar certificados y crear CRLs (Certificate Revocation List) que son listas de certificados ya no vlidos. Autoridad de Registro (RA): es la entidad encargada de gestionar altas y bajas de las peticiones de certificacin como as tambin de la revocacin. Entonces un usuario que desea solicitar
un certificado de clave pblica se debe dirigir a una RA autorizada por una CA. Autoridad de Validacin (VA): proporciona informacin sobre el estado de los certificados. Realiza las consultas de todas las CRLs necesarias para saber el estado del certificado que se le ha pasado en una peticin de validacin. Sistema de Distribucin de Certificados: El sistema de distribucin puede ser variado, esto depende ya de la estructura PKI que utilicemos. Aplicaciones habilitadas por PKI: o Comunicacin entre servidores o Correo Electrnico o EDI (Intercambio Electrnico de Datos) o Transacciones con tarjeta de Crditos o Redes Virtuales Privadas (VPN)
En esta imagen presenta la misma funcin en un sitio de Internet que el CA cumple de VA, y RA, dado que es una Empresa Certificadora Externa.
Emitir el Certificado
Validar la autenticidad del Emisor y Receptor (Punto 1 y 2) Mantener una base de datos con los certificados vlido y los removimos.
Esta sesin por lo tanto es privada, Integra, soporta no repudio y tambin autenticacin. Esto es todo por lo menos en la parte terica. En el prximo artculo espero hablar de soluciones reales, como instalar un certificado digital en el servidor como Activar SSL, y pedir un certificado de Prueba a Verisign. Con esto montaremos un servidor seguro con SSL. Ante errores, fallos de conceptos dirigirse a <A href="mailto:webmaster@astrito.com">webmaster@astrito.com o http://www.astrito.com/ Gracias. Bibliografa:
<A href="http://www.opengroup.org/public/tech/security/pki/">http://www.opengroup. org/public/tech/security/pki/ Public Key Infrastructure Open Group. <A href="http://www.asianlaws.org/infosec/library/pki/pki.htm">http://www.asianlaws. org/infosec/library/pki/pki.htm Asian School of CyberLaws <A href="http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtech nol/windows2000serv/reskit/distsys/part2/dsgch16.asp">http://www.microsoft.com/ technet/treeview/default.asp?url=/technet Dando soporte a una PKI Technet Microsoft Curso NSP Network Security Program NetK, Proydesa Argentina, curso cerrado para alumnos <A href="http://seguridad.proydesa.org/">http://seguridad.proydesa.org/ Proyectos y Desarrollos Argentinos.