UNIVERSIDAD YACAMBÚ
VICERRECTORADO DE ESTUDIOS VIRTUALES
ESPECIALIZACIÓN EN GERENCIA: MENSION REDES Y TELECOMUNICACIONES
AUTOR: ADRIANA JIMÉNEZ
ASIGNATURA: SISTEMAS DE INFORMACIÓN GERENCIAL
TRABAJO 3: SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN DESARROLLADOS VÍA WEB
Es
de especial importancia la seguridad de la información que se intercambia en el
Web. La explotación comercial de Internet exige disponer de sistemas de
comunicación seguros, capaces de adaptarse a las necesidades de los nuevos
servicios, como la compra electrónica o la banca a distancia. En estos
servicios, se manejan dos conceptos fundamentales, la autentificación
(garantizar que tanto el usuario de un cliente Web como un determinado servidor
de información son quienes dicen ser) y la confidencialidad (hacer que la
información intercambiada no pueda ser interceptada por terceros).
Con
los sistemas de comunicación actualmente en uso, es técnicamente posible
‘pinchar’ un enlace de comunicaciones e interceptar el contenido de las
comunicaciones TCP/IP que por él se transmiten. Cuando se envía información
privada, por ejemplo un número de tarjeta de crédito en un formulario de
compra, es vital garantizar que la información sea recibida exclusivamente por
su destinatario, y que la identidad es la esperada.
Se
utiliza para limitar el acceso a determinados documentos de un servidor Web, en
función del origen y tipo de petición. La forma de hacerlo varía con el entorno
en el que se publican las páginas (sistema operativo y servidor HTTP,
principalmente); en general, todas las soluciones pasan por definir un fichero
que contiene las diferentes limitaciones de acceso, en un formato
característico del servidor HTTP. En algunos casos se utiliza un fichero global
con las restricciones de acceso o bien un fichero por cada directorio al que se
quiere limitar el acceso.
Cuando
un cliente Web accede a un fichero protegido, el servidor devuelve un código de
error asociado a la falta de permisos para realizar la operación. Si el acceso
se realiza desde un dominio o dirección IP prohibida, no será posible acceder a
la información desde ese sistema. Cuando la protección se basa en nombres y
claves de acceso, el browser solicitará estos datos y
los enviará al servidor para que sean verificados. Las claves de acceso se
envían al servidor por diferentes sistemas, sin codificar (sencillo pero
inseguro) o codificadas (DES o Kerberos, por
ejemplo). Será el propio servidor HTTP el que informe sobre la manera en que se
deben enviar estas claves de acceso.
Permite
limitar el acceso a documentos o grupos de documentos, en función de nombres de
usuarios o direcciones de origen. El control de acceso se puede realizar para
todo el servidor, modificando los ficheros globales de configuración o para un
directorio concreto.
El
control de acceso al contenido de un directorio se realiza creando un fichero
de nombre .www_acl, en el mismo directorio que los
ficheros cuyo acceso se quiere controlar. Un ejemplo aclarará más el
formato de este fichero:
secret*.html : GET,POST : trusted_people minutes*.html : GET,POST : secretaries *.html : GET : willy,kenny
Está formado por líneas, cada una de ellas fijando una
limitación de acceso diferente. Para cada especificación de ficheros, se indica
los comandos HTTP permitidos y los usuarios o grupos de usuarios que pueden
acceder. Cuando se añade un control de acceso, automáticamente se deshabilita
el acceso para los usuarios o grupos no incluidos. Se utiliza el mecanismo de
autentificación básica, en la cual las claves de acceso son transferidas por la
red sin codificar.
Se pueden crear usuarios o grupos de usuarios con la
aplicación htadm, a través de la cual se generan nuevos usuarios y se les
asigna claves de acceso. Además, a través de la configuración global del
servidor, es posible fijar permisos de acceso por defecto, o restringir el uso
del servidor a determinadas direcciones (o rangos de direcciones) IP. Por todo
lo antes mencionado se recomienda lo siguiente:
-
Asegurar el servidor en una forma fundamental:
El sistema operativo, ya sea por medio de actualizaciones
(parches) y habilitando los mecanismos propios de la plataforma.
Garantizar la seguridad del servidor Web propiamente
(IIS, Apache, etc.)
Auditar las aplicaciones que interactúan en
las dos capas anteriores (módulos, bibliotecas).
-
Asegurando la red físicamente (switches en lugar de hubs):
Esconder
la información (esteganografía)
Cifrar
la información por medio de algoritmos diversos (SSL, VPNs).
Es
importante destacar que se debe asumir que vivimos en un entorno tecnológico
cambiante que va a tener cada día nuevas exigencias para garantizar la
seguridad en aplicaciones Web a las que estamos expuestas. Y en cada decisión o
estrategia las empresas deben prepararse para afrontar los riesgos de seguridad
informática.
Infografía
http://webmasters.navegalis.com/articulos/mostrar/18/
http://www.todoexpertos.com/categorias/tecnologia-e-internet/desarrollo-de-sitios-web/seguridad-web/
http://www.rizomatica.net/?p=143
http://www.sqlmax.com/segweb.asp
http://es.wordpress.com/tag/seguridad-web/