Tema 4 – Servicio Web

Punto 6 – Seguridad en el protocolo HTTP

Juan Luis Cano

Ya que HTTP es un protocolo bastante inseguro, se han añadido varias medidas para conseguir que este protocolo obtenga una seguridad garantizada. Algunas de estas medidas son: Autenticación HTTP a través de claves de sesión en cookies y

formularios HTML. Susceptibilidad de las cookies a todo tipo de ataques por parte de

intermediarios y mirones. Autenticación básica, digest y otros esquemas basados en la capa

de transporte. Esquemas de autenticación basados en tickets centralizados. Web Services. (protocolos basados en XML) Posible revisión del protocolo HTTP en un futuro.

Seguridad en el protocolo

Hypertext Transfer Protocol Secure (Protocolo seguro de transferencia de hipertexto), más conocido por sus siglas HTTPS, es unprotocolo de aplicación basado en el protocolo HTTP y que está destinado a la transferencia segura de datos de Hiper Texto, es decir, es la versión segura de HTTP.

HTTP Secure

Secure Sockets Layer (SSL o «capa de conexión no segura») es un protocolo que permite generar certificados y firmas digitales, de tal forma que se le pueden aplicar a un archivo y sitio Web.

El protocolo SSL intercambia registros; opcionalmente, cada registro puede ser comprimido, cifrado y empaquetado con un código de autenticación del mensaje (MAC). Cada registro tiene un campo de content_type que especifica el protocolo de nivel superior que se está usando.

Secure Sockets Layer

El cliente envía y recibe varias estructuras handshake: Envía un mensaje ClientHello especificando una lista de

conjunto de cifrados, métodos de compresión entre otros. Después, recibe un registro ServerHello, en el que el servidor

elige los parámetros de conexión a partir de las opciones ofertadas por el cliente.

Cuando los parámetros de la conexión son conocidos, cliente y servidor intercambian certificados (dependiendo de las claves públicas de cifrado seleccionadas).

Cliente y servidor negocian una clave secreta (simétrica) común llamada master secret, empleando un algoritmo o utilizando un sistema de claves pública y privada. Todos los datos de claves restantes son derivados a partir de este master secret.

Funcionamiento del protocolo SSL

Esquema de Funcionamiento del protocolo

Transport Layer Security (TLS; «seguridad de la capa de transporte») es la evolución de SSL en cuanto a seguridad en la capa de aplicación.

Transport Layer Security

Este protocolo se ha aplicado a la nueva tecnología VoIP y su uso está muy extendido al protocolo SMTP.

Este protocolo emplea medidas de seguridad de diferentes formas: Numera todos los registros y usando el número de secuencia

en el MAC. Utiliza un resumen de mensaje mejorado con una clave (de

forma que solo con dicha clave se pueda comprobar el MAC). Protege contra varios ataques conocidos (incluyendo

ataques man-in-the-middle). El mensaje que finaliza el protocolo handshake (Finished)

envía un hash de todos los datos intercambiados y vistos por ambas partes.

La función pseudo aleatoria divide los datos de entrada en 2 mitades y las procesa con algoritmos hash diferentes (MD5 y SHA), para luego realizarle una operación XOR. De esta forma se protege a sí mismo por si alguno de estos algoritmos fuese vulnerable en el futuro.

Medidas de seguridad del protocolo TLS

Los certificados digitales son manejados por estos protocolos tras ser generados en el servidor, y se aplican a los archivos o páginas web que se necesiten. Los certificados se generan tras aplicarles los algoritmos necesarios y son visibles por los clientes tras realizar una conexión HTTPS.

Gestión de Certificados

Tras realizar una conexión HTTPS se puede comprobar el certificado del sitio.

Acceso seguro

Punto 7 – Almacenamiento de Sitios Web