Introduccin a la Seguridad en Entornos de Comercio Electrnico

Existen diferentes mtodos de procesar transacciones en una compra, protocolos que lo hacen de manera segura, por lo tanto, echaremos un vistazo a lo que se refiere en seguridad con SSL. La seguridad de un sitio electrnico tiene que ser confiable para que el mismo tenga xito. Siendo franco, el ndice de personas que compran en lnea ha crecido bastante en los ltimos 2 aos. Y esto se debe a la confiabilidad que estn brindando los sitios de comercio electrnico. La seguridad en un ambiente de comercio electrnico involucra las siguientes partes:

Privacidad: que las transacciones no sean visualizadas por nadie. Integridad: que los datos o transacciones como nmeros de tarjeta de crditos o pedidos no sean alterados. No Repudio: posibilita que el que gener la transaccin se haga responsable de ella, y brinda la posibilidad de que este no la niegue. Autenticacin: que los que intervienen en la transaccin sean leales y vlidas. Facilidad: que las partes que intervienen en la transaccin no encuentren dificultad al hacer la transaccin.

Herramientas para proteger un sitio de E-commerce

Las estructuras de seguridad de un sitio de e-commerce no vara con las de un sitio tradicional, pero si se implementa el protocolo SSL en la mayora de los casos para tener un canal seguro en las transacciones.

Punto1:Usuario conectndose a Punto2 (un sitio de e-commerce como amazon.com) utilizando un navegador Internet Explorer compatible con el protocolo SSL. Punto2:El Punto2 como nombramos es un sitio de e-commerce tradicional (compra / venta) que establece conexiones seguras utilizando SSL para la transacciones, y tambin posee un Firewall para hacer filtrado de paquetes (Packet Filtering) Punto3:Este punto es la autoridad que emite los Certificados de Autenticidad, en ingls Certificate Authority (CA) que por seguridad y es recomendable que sea una tercera empresa el emisor del certificado no sea interno.

Firewalls (Corta Fuegos)

El Firewall es una herramienta preventiva contra ataques, que realiza un inspeccin del trfico entrante y saliente. Esto impide que servicios o dispositivos no autorizados accedan a ciertos recursos y de esta manera protegernos contra ataques de denegacin de servicios por ejemplo (DoS) El Firewall puede ser por Software o Hardware o bien combinaciones de estos pero que no sern tratados aqu por que va ms all de este artculo.

Comenzando con SSL

SSL es un protocolo que corre sobre TCP (protocolo de transporte punto a punto de Internet). Este se compone de dos capas y funciona de la siguiente manera:

La primera capa se encarga de encapsular los protocolos de nivel ms alto La segunda capa que se llama SSL Handshake Protocol se encarga de la negociacin de los algoritmos que van a encriptar y tambin la autenticacin entre el cliente y el servidor.

Cuando se realiza una conexin inicial el cliente lo primero que hace es enviar una informacin con todo los sistemas de encriptacin que soporta, el primero de la lista es el que prefiere utilizar el cliente. Entonces el servidor responde con una clave certificada e informacin sobre los sistemas de encriptacin que este soporta. Entonces el cliente seleccionar un sistema de encriptacin, tratar de desencriptar el mensaje y obtendr la clave pblica del servidor. Este mtodo de seguridad es de lo mejor ya que por cada conexin que se hace el servidor enva una clave diferente. Entonces si alguien consigue desencriptar la clave lo nico que podr hacer es cerrarnos la conexin que corresponde a esa clave. Cuando se logra el este primer proceso que es la sesin solamente, los que actuarn ahora son los protocolos de capa 7 del OSI o sea la capa de Aplicacin, claro que todo lo que se realice a partir de que tenemos una sesin SSL establecida estar encriptado con SSL.

Certificados
Un Certificate Authority (CA) es generalmente una empresa que emite certificados. Si el CA es una empresa externa que emite certificados de autenticidad de clientes o empresas. Por ejemplo: <A href="http://www.verisign.com/"> Versign.com

Que es lo que tiene un certificado?

Un certificado contiene la siguiente informacin:

Dominio para el que se expidi (por ejemplo <A href="http://www.segurired.com/">http://www.segurired.com/) Dueo del Certificado Domicilio del Dueo Y la fecha de validez del mismo.

Un ejemplo es cuando compramos un libro de amazon.com por ejemplo Me conectar a http://www.amazon.com/

Estamos en un sitio comn, la barra de estado del Internet Explorer nos indica que estamos en un sitio de Zona Internet y la direccin en que estamos ubicados comienza con http://..

Ahora la siguiente pantalla nos mostrar cuando quiero hacer el Check Out o Pago de los libros que compr.

Ahora un pequeo candado me indica que estoy en un servidor seguro, y que puedo incluir mis datos. Otro indicador es la direccin de web que ahora comienza con https://. y no con http://. Pero si no confiamos, podemos hacer doble clic sobre el candado amarillo y obtendremos informacin sobre el certificado del servidor amazon.com

Esta es la informacin bsica del certificado, que nos confirma que si estamos conectados al servidor correcto que es amazon.com y el certificado fue emitido por un CA que es Verisign o sea una tercera empresa que no tiene que ver nada con la empresa de donde estamos haciendo compras. Haciendo clic en la pestaa Detalles podremos tener ms informacin tcnica sobre el Certificado:

El algoritmo utilizado, la versin de SSL, el algoritmo de identificacin, la fecha de valides que posee, entre otros. La fuerza de cifrado que esta utilizando RSA(1024bits) que es un cifrado muy fuerte. Volviendo a nuestro grfico de cmo funcionaba un sitio de e-commerce, identifiquemos los 3 puntos:

El Punto1: el usuario soy yo, me conecto al sitio Punto2 que es Amazon.com Punto2: me muestra los productos, que voy a comprar, yo los selecciono y proceso a ir al sitio seguro. Entonces el Punto2 me contacta con el Punto3, el cual me enva la direccin del certificado para el Punto2, donde me dice si es vlido o no. Utilizar SSL tiene beneficios grandes, ya que es un estndar no hace falta instalar ningn software adicional de lado del cliente, y tampoco de lado del servidor, ya que la mayora de los servidores web como son IIS (Internet Information Server) y Apache ya poseen soporte para SSL conexiones seguras. Los navegadores de Internet ms populares como lo son el Internet Explorer y el Netscape tambin ya poseen soporte para SSL. Tambin da una prueba de que su servidor web es su servidor web, es decir que est protegiendo la identidad de su sitio web. El 95% de los pagos de Internet se realizan utilizando hoy en da SSL. SSL no depende de ningn sistema operativo, es independiente, puede ser utilizado sobre cualquier plataforma, independiente.

Como se negocia con SSL?

El protocolo http normal "escucha" en el puerto 80, el puerto SSL por defecto "escucha" en el puerto 443 del servidor. Luego cuando el cliente se conecta al puerto 443 del servidor comienzan las primeras "negociaciones" de los protocolos, que ya hemos explicado ms arriba en este texto. Toda esta comunicacin es encriptada, hasta que se cierre la misma. Aparte de SSL existen otros protocolos como el SET creado por Mastercard y Visa junto con lideres de la informtica como Microsoft, Verisign y otras empresa ms. Junto con el CyberCash son soluciones creadas para la venta por Internet.

Infraestructura de Clave Pblica o Public Key Insfrastructure (PKI)

Esta basada en criptografa de clave pblica, que permite la gestin de certificados. Una PKI es una fusin de soluciones dadas en hardware, software y polticas de seguridad. PKI como nombr anteriormente est dada por la utilizacin de Certificados Digitales o bien un documento digital que identifica cualquier transaccin.

Que provee PKI:

Confidencialidad (Privacidad) Integridad de los Mensajes (no modificaciones en el trayecto) Autenticacin No repudio (No poder denegar una accin en el mensaje emitido por un remitente) Control de Acceso: Solo usuarios autorizados pueden acceder.

Componentes:

Poltica de Seguridad: establece la manera en que una organizacin ejecutar procesos de gestin de claves pblicas y privadas. Autoridad Certificante (CA): del ingls Certificate Authority, se encarga de generar los Certificados Digitales, usando una clave privada para firmarlos. Otras funciones de una CA son: o Emitir Certificados o Revocar certificados y crear CRLs (Certificate Revocation List) que son listas de certificados ya no vlidos. Autoridad de Registro (RA): es la entidad encargada de gestionar altas y bajas de las peticiones de certificacin como as tambin de la revocacin. Entonces un usuario que desea solicitar

un certificado de clave pblica se debe dirigir a una RA autorizada por una CA. Autoridad de Validacin (VA): proporciona informacin sobre el estado de los certificados. Realiza las consultas de todas las CRLs necesarias para saber el estado del certificado que se le ha pasado en una peticin de validacin. Sistema de Distribucin de Certificados: El sistema de distribucin puede ser variado, esto depende ya de la estructura PKI que utilicemos. Aplicaciones habilitadas por PKI: o Comunicacin entre servidores o Correo Electrnico o EDI (Intercambio Electrnico de Datos) o Transacciones con tarjeta de Crditos o Redes Virtuales Privadas (VPN)

En esta imagen presenta la misma funcin en un sitio de Internet que el CA cumple de VA, y RA, dado que es una Empresa Certificadora Externa.

El Nmero 3 es nuestro CA que se encarga de:

Emitir el Certificado

Validar la autenticidad del Emisor y Receptor (Punto 1 y 2) Mantener una base de datos con los certificados vlido y los removimos.

Esta sesin por lo tanto es privada, Integra, soporta no repudio y tambin autenticacin. Esto es todo por lo menos en la parte terica. En el prximo artculo espero hablar de soluciones reales, como instalar un certificado digital en el servidor como Activar SSL, y pedir un certificado de Prueba a Verisign. Con esto montaremos un servidor seguro con SSL. Ante errores, fallos de conceptos dirigirse a <A href="mailto:webmaster@astrito.com">webmaster@astrito.com o http://www.astrito.com/ Gracias. Bibliografa:

<A href="http://www.opengroup.org/public/tech/security/pki/">http://www.opengroup. org/public/tech/security/pki/ Public Key Infrastructure Open Group. <A href="http://www.asianlaws.org/infosec/library/pki/pki.htm">http://www.asianlaws. org/infosec/library/pki/pki.htm Asian School of CyberLaws <A href="http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtech nol/windows2000serv/reskit/distsys/part2/dsgch16.asp">http://www.microsoft.com/ technet/treeview/default.asp?url=/technet Dando soporte a una PKI Technet Microsoft Curso NSP Network Security Program NetK, Proydesa Argentina, curso cerrado para alumnos <A href="http://seguridad.proydesa.org/">http://seguridad.proydesa.org/ Proyectos y Desarrollos Argentinos.