Existen diferentes métodos de procesar transacciones en una compra, protocolos que lo hacen de manera segura, por lo tanto, echaremos un vistazo a lo que se refiere en seguridad con SSL.

La seguridad de un sitio electrónicotiene que ser confiable para que el mismo tenga éxito.

Siendo franco, el índice de personas que compran en línea ha crecido bastanteen los últimos 2 años. Y esto se debe a la confiabilidad que están brindandolos sitios de comercio electrónico.

La seguridad en un ambiente de comercio electrónico involucra las siguientespartes:

Privacidad: quelas transacciones no sean visualizadas por nadie.

Integridad: quelos datos o transacciones como números de tarjeta de créditos o pedidosno sean alterados.

No Repudio: posibilitaque el que generó la transacción se haga responsable de ella, y brinda laposibilidad de que este no la niegue.

Autenticación: que los que intervienen en la transacción sean leales y válidas. Facilidad:

que las partes que intervienen en la transacción no encuentren dificultadal hacer la transacción.

Herramientas para proteger un sitio de E-commerce

Las estructuras de seguridad de un sitio de e-commerce no varía con las de unsitio tradicional, pero si se implementa el protocolo SSL en la mayoría de loscasos para tener un canal seguro en las transacciones.

Punto1:Usuario conectándose a Punto2 (un sitio de e-commerce como amazon.com) utilizando un navegador Internet Explorer compatible con el protocolo SSL.

Punto2:El Punto2 como nombramos es un sitio de e-commerce tradicional (compra / venta) que establece conexiones seguras utilizando SSL para la transacciones, y tambiénposee un Firewall para hacer filtrado de paquetes (Packet Filtering)

Punto3:Este punto es la autoridad que emite los Certificados de Autenticidad, en inglés Certificate Authority (CA) que por seguridad y es recomendable que sea una tercera empresa el emisor del certificado no sea interno.

Firewalls (Corta Fuegos)

El Firewall es una herramienta preventiva contra ataques, que realiza una inspeccióndel tráfico entrante y saliente. Esto impide que servicios o dispositivos noautorizados accedan a ciertos recursos y de esta manera protegernos contra ataquesde denegación de servicios por ejemplo (DoS)

El Firewall puede ser por Software o Hardware o bien combinaciones de estospero que no serán tratados aquí por que va más allá de este artículo.

Comenzando con SSL

SSLes un protocolo que corre sobre TCP(protocolo de transporte punto a punto de Internet). Este se compone de doscapas y funciona de la siguiente manera:

La primera capa se encarga de encapsularlos protocolos de nivel más alto

La segunda capa que se llama SSLHandshake Protocol se encarga de la negociación de los algoritmos que van a encriptar y también la autenticación entre el cliente y el servidor.

Cuando se realiza una conexión inicial el cliente lo primero que hace es enviar una información con todo los sistemas de encriptación que soporta, el primero de la lista es el que prefiere utilizar el cliente. Entonces el servidor responde con una clave certificada e información sobre los sistemas de encriptación que este soporta.

Entonces el cliente seleccionará un sistema de encriptación, tratará de desencriptarel mensaje y obtendrá la clave pública del servidor.

Este método de seguridad es de lo mejor ya que por cada conexión que se haceel servidor envía una clave diferente. Entonces si alguien consigue desencriptarla clave lo único que podrá hacer es cerrarnos la conexión que corresponde aesa clave.

Cuando se logra el este primer proceso que es la sesión solamente, los que actuaránahora son los protocolos de capa 7 del OSI o sea la capa de Aplicación, claroque todo lo que se realice a partir de que tenemos una sesión SSL establecidaestará encriptado con SSL.

Certificados

Un Certificate Authority (CA) es generalmente una empresa que emite certificados.Si el CA es una empresa externa que emite certificados de autenticidad de clienteso empresas. Por ejemplo:

<Ahref="http://www.verisign.com/">Versign.com

Que es lo que tiene un certificado?

Un certificado contiene la siguiente información:

Dominio para el que se expidió (por ejemplo <Ahref="http://www.segurired.com/">http://www.segurired.com/)

Dueño del Certificado Domicilio del Dueño Y la fecha de validez del mismo.

Un ejemplo es cuando compramos un libro de amazon.compor ejemplo

Me conectaré a http://www.amazon.com/

Estamos en un sitio común, la barra de estado del InternetExplorer nos indica que estamos en un sitio de Zona Internet y la direcciónen que estamos ubicados comienza con http://……..

Ahora la siguiente pantalla nos mostrará cuando quiero hacer el Check Out oPago de los libros que compré.

Ahora un pequeño candado me indica que estoy en un servidorseguro, y que puedo incluir mis datos. Otro indicador es la dirección de webque ahora comienza con https://…. y no con http://….

Pero si no confiamos, podemos hacer doble clic sobre el candado amarillo y obtendremosinformación sobre el certificado del servidor amazon.com

Esta es la información básica del certificado, que nos confirmaque si estamos conectados al servidor correcto que es amazon.com y el certificadofue emitido por un CA que es Verisign o sea una tercera empresa que no tieneque ver nada con la empresa de donde estamos haciendo compras.

Haciendo clic en la pestaña Detalles podremos tener más información técnicasobre el Certificado:

El algoritmo utilizado, la versión de SSL, el algoritmo deidentificación, la fecha de valides que posee, entre otros.

La fuerza de cifrado que esta utilizando RSA(1024bits) que es un cifrado muyfuerte.

Volviendo a nuestro gráfico de cómo funcionaba un sitio de e-commerce, identifiquemoslos 3 puntos:

El Punto1: el usuario soy yo, me conecto al sitio Punto2 quees Amazon.com

Punto2: me muestra los productos, que voy a comprar, yo losselecciono y proceso a ir al sitio seguro. Entonces el Punto2 me contacta conel Punto3, el cual me envía la dirección del certificado para el Punto2, dondeme dice si es válido o no.

Utilizar SSL tiene beneficios grandes, ya que es un estándar no hace falta instalarningún software adicional de lado del cliente, y tampoco de lado del servidor,ya que la mayoría de los servidores web como son IIS (Internet Information Server)y Apache ya poseen soporte para SSL conexiones seguras. Los navegadores de Internetmás populares como lo son el Internet Explorer y el Netscape también ya poseensoporte para SSL.

También da una prueba de que su servidor web es su servidor web, es decir queestá protegiendo la identidad de su sitio web.

El 95% de los pagos de Internet se realizan utilizando hoy en día SSL.

SSL no depende de ningún sistema operativo, es independiente, puede ser utilizadosobre cualquier plataforma, independiente.

Como se negocia con SSL?

El protocolo http normal "escucha" en el puerto 80, el puerto SSL por defecto"escucha" en el puerto 443 del servidor.

Luego cuando el cliente se conecta al puerto 443 del servidor comienzan las primeras "negociaciones" de los protocolos, que ya hemos explicado más arriba en este texto.Toda esta comunicación es encriptada, hasta que se cierre la misma.

Aparte de SSL existen otros protocolos como el SET creado por Mastercard y Visajunto con lideres de la informática como Microsoft, Verisign y otras empresa más.Junto con el CyberCash son soluciones creadas para la venta por Internet.

Infraestructura de Clave Pública o Public Key Insfrastructure(PKI)

Esta basada en criptografía de clave pública, que permite la gestión de certificados.

Una PKI es una fusión de soluciones dadas en hardware, software y políticasde seguridad. PKI como nombré anteriormente está dada por la utilización deCertificados Digitales o bien un documento digital que identifica cualquiertransacción.

Que provee PKI:

Confidencialidad (Privacidad) Integridad de los Mensajes

(no modificaciones en el trayecto) Autenticación No repudio (No

poder denegar una acción en el mensaje emitido por un remitente) Control de Acceso:

Solo usuarios autorizados pueden acceder.

Componentes:

Política de Seguridad: establece la manera en que una organización ejecutará procesos de gestiónde claves públicas y privadas.

Autoridad Certificante (CA): del inglés Certificate Authority, se encarga de generar los Certificados Digitales,usando una clave privada para firmarlos. Otras funciones de una CA son:

o Emitir Certificados o Revocar certificados y crear CRLs (Certificate Revocation

List) que son listas de certificados ya no válidos. Autoridad de Registro (RA): es la entidad encargada de gestionar altas y bajas

de las peticiones de certificacióncomo así también de la revocación. Entonces un usuario que desea solicitarun certificado de clave pública se debe dirigir a una RA autorizada por unaCA.

Autoridad de Validación (VA): proporciona información sobre el estado de los certificados. Realiza las consultasde todas las CRLs necesarias para saber el estado del certificado que se leha pasado en una petición de validación.

Sistema de Distribución deCertificados: El sistema de distribución puede ser variado, estodepende ya de la estructura PKI que utilicemos.

Aplicaciones habilitadas porPKI:

o Comunicación entre servidores o Correo Electrónico o EDI (Intercambio Electrónico

de Datos) o Transacciones con tarjeta de Créditos o Redes Virtuales Privadas

(VPN)

En esta imagen presenta lamisma función en un sitio de Internet que el CA cumple de VA, y RA, dado quees una Empresa Certificadora Externa.

El Número 3 es nuestro CAque se encarga de:

Emitir el Certificado Validar la autenticidad del Emisor y Receptor (Punto

1 y 2) Mantener una base de datos con los certificados válido

y los removimos.

Esta sesión por lo tanto es privada, Integra,soporta no repudio y también autenticación.

Esto es todo por lo menosen la parte teórica.

En el próximo artículo esperohablar de soluciones reales, como instalar un certificado digital en el servidorcomo Activar SSL, y pedir un certificado de Prueba a Verisign. Con esto montaremosun servidor seguro con SSL.

Ante errores, fallos de conceptos dirigirse a <Ahref="mailto:webmaster@astrito.com">webmaster@astrito.com o http://www.astrito.com/

Gracias.

Bibliografía:

<Ahref="http://www.opengroup.org/public/tech/security/pki/">http://www.opengroup.org/public/tech/security/pki/Public Key Infrastructure Open Group.

<Ahref="http://www.asianlaws.org/infosec/library/pki/pki.htm">http://www.asianlaws.org/infosec/library/pki/pki.htmAsian School of CyberLaws

<Ahref="http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windows2000serv/reskit/distsys/part2/dsgch16.asp">http://www.microsoft.com/technet/treeview/default.asp?url=/technet…Dando soporte a una PKI Technet Microsoft

Curso NSP Network SecurityProgram – NetK, Proydesa – Argentina, curso cerrado para alumnos <Ahref="http://seguridad.proydesa.org/">http://seguridad.proydesa.org/ Proyectosy Desarrollos Argentinos.