TRABAJO Nº 2

SEGURIDAD EN LOS SISTEMAS DE INFORMACION DESARROLLADOS VIA WEB

                                  Seguridad del servidor Web

                                      Realizado por : Migdalia  Giménez

 

Con el aumento del comercio electrónico en la Web, la supervisión de la seguridad del sitio se ha convertido en una necesidad absoluta. Una actitud relajada en temas de seguridad conduce a la intrusión de hackers, crackers o cualquier otro término -probablemente despectivo-- que desee utilizar para describir una personalidad desabrida que comprometa el funcionamiento de su sitio. El motivo por el que alguien decide entrar en el sitio de otra persona va desde la simple curiosidad a intentos maliciosos o delictivos. Piense que la gente puede intentar entrar en un sitio para robar información sobre tarjetas de crédito o de otro tipo, así como para socavar lar reputación de una empresa, colocando información incorrecta o inmoral en el sitio. Mucha gente señala que muchas intrusiones no producen un daño significativo como indicación de que no hay que preocuparse mucho por ello. Sin embargo, este inocente punto de vista será menos aceptado cuanto más empresas comiencen a hacer negocios en la red y sigan produciéndose las intrusiones dañinas. En el «mundo real» una intrusión casual en un al macén en medio de la noche por alguien que asegura estar haciendo eso simplemente para comprobar que pueden hacerla, es absolutamente ilega1. Es improbable que una defensa como «las cerraduras deberían ser más seguras» o, incluso, «deberían haber cerrado la puerta» satisfaga a ningún jurado en su sano juicio. Independientemente de su postura respecto al tema de los hackers/crackers, los poseedores de sitios deberían tomar precauciones e intentar fortificar su sitio contra los accesos no autorizados. Para hacerla, hay que conocer los métodos de intrusión empleados.

 

Lo interesante de todas estas reglas es que tienen que considerarse en conjunto para crear una política de seguridad completa. El cortafuegos más fuerte del mundo no podrá mantener a nadie fuera de su red si pueden mirar entre su basura y encontrar la información sobre su configuración o, simplemente, llamar y pretender ser un importante ejecutivo. En cierto sentido, la seguridad es como una aventura de todo o nada Mucha gente aboga por taponar los agujeros obvios y no preocuparse de más, pero cuando el dinero está cambiando de manos, como es el caso de sitios de comercio electrónico, esta propuesta es muy peligrosa.

 

Regla: Cree, implante y pruebe una política de seguridad completa en el sitio, que sea algo más que un sencillo cortafuegos.

 

 

El control de los temas de seguridad es una tarea a tiempo completo. Numerosos sitios, como www.cert.org, lanzan avisos, literalmente, cada semana, y sitios como www.rootshell.org exponen a la vista todas estas posibles violaciones.

Piense que . cualquier persona que quiera forzar un sistema no tendrá muchos problemas para encontrar un sitio en donde le indiquen detalladamente cómo aprovecharse de los agujeros mas comunes en la seguridad de los sistemas. Debido a la continua vigilancia necesaria para mantener seguros los sistemas, puede mantener seguros los sistemas, puede ser interesante contratar a una empresa especializada en seguridad para auditar su sitio y solucionar cualquier agujero existente.-

 

Métodos típicos de ataque a un sitio

             

Adivinar la contraseña

 

Una forma muy corriente de asalto a los sitios se basa en que las contraseñas son fáciles de adivinar. Pueden emplearse herramientas para tratar de averiguar las contraseñas corrientes o incluso para probar con cada una de las palabras de diccionario inglés.

 

Explotar el sistema operativo

 

El sistema operativo puede quedar expuesto a un ataque debido a errores o fallos conocidos. Una vez comprometido el sistema operativo, el intruso controlará la ejecución del sitio.

 

Engaño(spoofing)

 

No siempre utilizado para intrusión, el engaño es una técnica en la que el intruso aparenta ser otra persona. Esto puede ser usado para intrusión cuando el intruso engaña a un sitio. El engaño también puede utilizarse por un intruso que pretende ser el sitio cuando un usuario está realizando una transacción.

 

Negación de  servicio

 

Un ataque de negación de servicio no se realiza necesariamente para obtener acceso a un sitio. La negación de servicio se utiliza, generalmente, para causar daño o arruinar la reputación de un sitio. La negación de servicio típica incluye la utilización de todos los recursos del servidor, quedando bloqueado su acceso para los usuarios legítimos o inundando una red con solicitudes falsas.

 

Ingeniería social

 

La ingeniería social consiste en que un intruso intenta engañar a un confiado propietario de un sitio o a algún miembro de su personal para que comunique alguna información importante, tal como la contraseña de un sistema. Generalmente, el intruso tratará de fingir ser una persona de confianza o un personaje importante, mediante el teléfono o el correo electrónico, ya que el engaño físico puede ser difícil.

 

Compromiso físico

 

Es, probablemente, la forma de ataque menos común, pero es importante tenerla en cuenta. Consiste en la intrusión física en donde está situado el sitio, e incluye realmente el robo de un sistema.

 

Métodos corrientes de protección de sitios

 

Utilice buenas contraseñas y cámbielas regularmente

 

Utilice contraseñas largas y difíciles de adivinar, Las contra señas deberán tener una vida limitada Considere la utilización de contraseñas generadas por hardware.

 

Mantenga su SO

 

Mantenga actualizado el software del sistema operativo aplicando todos los parches y mejoras.

 

Limite los puntos de acceso

 

Elimine los servicios que no son de uso corriente. Limite los  servidores Web para que sólo proporcionen servicios Web y piense en eliminar cualquier forma de protocolo de acceso a servidor, excepto HTTP.

 

Configure un cortafuegos

 

Configure un cortafuegos para limitar el tráfico de la red. Piense en la utilización de las limitaciones de filtrado de paquetes y de limitaciones de protocolos de aplicación.

 

Utilice un cifrado adecuado

 

Cuando transmita datos sensibles vía correo electrónico HTTP, cifre la información utilizando el mejor cifrado posible.

 

Utilice certificados digitales

 

Instale certificados digitales de organizaciones como VeriSign. (www.verisign.com) para que pueda comprobarse la identidad.

 

Reduzca la filtración de información

 

No dé a conocer información que un hacker pueda Utilizar para averiguar un agujero en la seguridad de su sistema. No permita un inicio de sesión remoto, incluso con un prompt. Si permite el inicio de sesión remoto, al menos, modifique cualquier prompt devuelto, para no indicar la variante del software o  el sistema operativo utilizado. Modifique los titulares de un servidor HTTP para que no revelen el tipo de servidor Web que utiliza. No revele el tipo de tecnología utilizada en las páginas Web programadas, como Perl. Utilice extensiones de archivos genéricas  como .cgi, en lugar de las específicas del lenguaje tal como .pl. Evite dar a conocer información sobre su red a  través de los servicios de nombre de dominio. Evite llamar a los sistemas con nombres que revelen su sistema operativo (por ejemplo, solarisl.democompany.com). Modifique su registro WHOIS para no incluir información personal que pueda utilizarse en ataques de ingeniería social.

 

Utilice seguridad física

 

Límite el acceso físico a los servidores importantes. Destruya los documentos sensibles, incluyendo los documentos que detallan las configuraciones del servidor o de la red.

 

Bibliografía: Diseño de Sitios Web, Thomas A. Powell, Segunda edición 2001.