ENSAYO
Páginas: 21 (5095 palabras)
Publicado: 9 de diciembre de 2013
CREAR CERTIFICADOS SSL PARA APACHE
Copyright 2005-2011 Sergio González Durán
Se concede permiso para copiar, distribuir y/o modificar este documento siempre y cuando se cite al autor y la fuente de linuxtotal.com.mx y según los términos de la GNU Free Documentation License, Versión 1.2 o cualquiera posterior publicada por la Free Software Foundation.
autor: sergio.gonzalez.duran@gmail.comhttp://www.linuxtotal.com.mx/index.php?cont=info_seyre_001
Introducción
Imaginémonos a la empresa "Pato, S.A." que ofrece a sus empleados y clientes el sitio http://www.pato.com/consulta, donde mediante un nombre de usuario y contraseña es posible para los empleados consultar saldos, órdenes, resurtir, estados de cuenta, etc. y para los clientes observar el estado de sus pedidos, su saldo,pagos, historial de compras, etc. El sitio esta perfectamente diseñado, protegido contra inyecciones sql, ataques mediante el url, el servidor al día con los últimos parches y actualizaciones, toda entrada de usuario, contraseña, y demás debidamente validadas para solo recibir caracteres válidos y excluir caracteres usados en consultas e instrucciones sql, etc. etc. Una belleza en cuanto a la seguridadde la aplicación Web. PERO, todo el sitio funciona bajo un servidor Web apache en el puerto 80, esta bien, pero implica que un empleado rencoroso porque no le aumentaron el sueldo o no lo promovieron de puesto y con intenciones de querer ser un hacker, instala un sniffer en su PC (dentro de la empresa), baja herramientas para envenenar mediante un ataque arp (arp poisoning) el switch al quecorresponde a su segmento red de tal modo que puede observar todo el tráfico de red de los equipos conectados a su switch. Fácil, nada del otro mundo, cualquier chico de los scripts (script kiddie) le hubiera enseñado como hacerlo si no lo hubiese el sabido ya. En unas cuantas horas tiene ya varias cuentas de usuario y contraseñas, se introduce como ellas y baja información confidencial de varios desus compañeros y como algunos son gerente, también obtiene información sensible de clientes. Listo, ahora a chantajear a la empresa por medio de un cómplice en el exterior o simplemente tratar de utilizar la información en su beneficio o peor aun causar algún tipo de destrozo con esta.
¿Ficción? Absolutamente no. Lo anterior es perfectamente posible porque el tráfico de red generado entre elcliente (navegador) y el servidor Web apache en el puerto 80 no esta encriptado, viaja tal cual. Entonces es posible, con la herramienta adecuada interceptar y observar este tráfico y obtener entre otras cosas contraseñas, números de tarjetas de crédito, etc. La solución es simple (la implementación no tanto), obtener un certificado de seguridad y hacer que el tráfico se dirija al puerto 443 (https) envez del 80 (http). En el puerto 443 el tráfico se encripta a través del los protocolos SSL (Secure Sockets Layer) y TLS (Transport Layer Security). Entonces todo el tráfico será encriptado y aunque es posible interceptarlo y observarlo, no se verá mas que basura o cadenas de caracteres sin ningún significado todo el tiempo, logrando asi un canal seguro encriptado entre el cliente y el servidor.Certificate Authority CA (Autoridad Certificadora)
Esta fuera del alcance de este documento toda la teoría detrás de SSL, hay varios documentos, tutoriales y manuales en Internet que lo explican, pero lo que si hay que entender que es un CA. Una autoridad certificadora como lo son Verisign, Thawte, beTRUSTed o ValiCert son empresas dedicadas a vender certificados de seguridad que la empresa que loadquiere instala en su servidor web. Es decir "Pato, S.A." desea montar su apliación Web bajo un sitio seguro con https, crea su certificado y lo manda firmar con un CA, el CA verifica que "Pato, S.A." es realmente quien dice ser. Después de checar la autenticidad de la empresa en cuestión, el CA firma el certificado de seguridad de su cliente con alguno de sus certificados raíz bajo una fuerte...
Copyright 2005-2011 Sergio González Durán
Se concede permiso para copiar, distribuir y/o modificar este documento siempre y cuando se cite al autor y la fuente de linuxtotal.com.mx y según los términos de la GNU Free Documentation License, Versión 1.2 o cualquiera posterior publicada por la Free Software Foundation.
autor: sergio.gonzalez.duran@gmail.comhttp://www.linuxtotal.com.mx/index.php?cont=info_seyre_001
Introducción
Imaginémonos a la empresa "Pato, S.A." que ofrece a sus empleados y clientes el sitio http://www.pato.com/consulta, donde mediante un nombre de usuario y contraseña es posible para los empleados consultar saldos, órdenes, resurtir, estados de cuenta, etc. y para los clientes observar el estado de sus pedidos, su saldo,pagos, historial de compras, etc. El sitio esta perfectamente diseñado, protegido contra inyecciones sql, ataques mediante el url, el servidor al día con los últimos parches y actualizaciones, toda entrada de usuario, contraseña, y demás debidamente validadas para solo recibir caracteres válidos y excluir caracteres usados en consultas e instrucciones sql, etc. etc. Una belleza en cuanto a la seguridadde la aplicación Web. PERO, todo el sitio funciona bajo un servidor Web apache en el puerto 80, esta bien, pero implica que un empleado rencoroso porque no le aumentaron el sueldo o no lo promovieron de puesto y con intenciones de querer ser un hacker, instala un sniffer en su PC (dentro de la empresa), baja herramientas para envenenar mediante un ataque arp (arp poisoning) el switch al quecorresponde a su segmento red de tal modo que puede observar todo el tráfico de red de los equipos conectados a su switch. Fácil, nada del otro mundo, cualquier chico de los scripts (script kiddie) le hubiera enseñado como hacerlo si no lo hubiese el sabido ya. En unas cuantas horas tiene ya varias cuentas de usuario y contraseñas, se introduce como ellas y baja información confidencial de varios desus compañeros y como algunos son gerente, también obtiene información sensible de clientes. Listo, ahora a chantajear a la empresa por medio de un cómplice en el exterior o simplemente tratar de utilizar la información en su beneficio o peor aun causar algún tipo de destrozo con esta.
¿Ficción? Absolutamente no. Lo anterior es perfectamente posible porque el tráfico de red generado entre elcliente (navegador) y el servidor Web apache en el puerto 80 no esta encriptado, viaja tal cual. Entonces es posible, con la herramienta adecuada interceptar y observar este tráfico y obtener entre otras cosas contraseñas, números de tarjetas de crédito, etc. La solución es simple (la implementación no tanto), obtener un certificado de seguridad y hacer que el tráfico se dirija al puerto 443 (https) envez del 80 (http). En el puerto 443 el tráfico se encripta a través del los protocolos SSL (Secure Sockets Layer) y TLS (Transport Layer Security). Entonces todo el tráfico será encriptado y aunque es posible interceptarlo y observarlo, no se verá mas que basura o cadenas de caracteres sin ningún significado todo el tiempo, logrando asi un canal seguro encriptado entre el cliente y el servidor.Certificate Authority CA (Autoridad Certificadora)
Esta fuera del alcance de este documento toda la teoría detrás de SSL, hay varios documentos, tutoriales y manuales en Internet que lo explican, pero lo que si hay que entender que es un CA. Una autoridad certificadora como lo son Verisign, Thawte, beTRUSTed o ValiCert son empresas dedicadas a vender certificados de seguridad que la empresa que loadquiere instala en su servidor web. Es decir "Pato, S.A." desea montar su apliación Web bajo un sitio seguro con https, crea su certificado y lo manda firmar con un CA, el CA verifica que "Pato, S.A." es realmente quien dice ser. Después de checar la autenticidad de la empresa en cuestión, el CA firma el certificado de seguridad de su cliente con alguno de sus certificados raíz bajo una fuerte...
Leer documento completo
Regístrate para leer el documento completo.