seguridad web
Páginas: 7 (1670 palabras)
Publicado: 25 de marzo de 2014
Seguridad en la
WEB
Partes principales de la seguridad
en la Web
● Asegurar el servidor y los datos que
contiene
● Asegurar la información que viaja entre el
servidor y el usuario
● Asegurar la computadora del usuario
Otros requisitos de seguridad
● Verificar la identidad del usuario al servidor
● Verificar la identidad del servidor al usuario
● Asegurar que los mensajes seanenviados
entre cliente y servidor en forma oportuno,
confiable y sin repeticiones
● Llevar bitacoras y auditar informacion
● Equilibrar la carga entre varios servidores
Asegurar la información en transito
● Asegurar físicamente la red, de forma que la
intercepción sea imposible
● Ocultar la información que se desea
asegurar dentro de la información
● Encriptar la información Transacción Típica
Número de tarjeta interceptado
Hacerse el cargo a la tarjeta y no llegar nunca
el producto
Riesgos para el cliente
● Información de la transacción usada en su
contra a futuro.
● Que el comerciante tenga información de
compras del cliente y utilice los datos para
manipular los precios.
● Que se pueda obtener el control del
navegador del cliente y acceder a datosconfidenciales
Riesgos para el comerciante
● Que el cliente encuentre el sitio web caído.
● El cliente podría ser en realidad un
competidor buscando información
● El cliente podría ser en realidad otra
persona con una tarjeta robada.
● Un hacker podría violar la seguridad del
comerciante y acceder a datos
confidenciales de los clientes
● El hacker podría ingresar órdenes falsas
directamenteen la base de pedidos
Riesgos para el comerciante
● El hacker podría agregar ordenes para
revertir cargos a su propia tarjeta.
● El hacker podría alterar los pedidos para
que los clientes reciban productos diferentes
a los pedidos.
● El hacker podría simplemente acceder a los
datos y modificar los precios publicados.
Firewalls: Parte de la solución
Un firewall es un dispositivo queaísla la red
interna de una organización del resto de
Internet.
Servidor Web y Firewall
● Servidor web fuera del firewall
● Servidor web dentro del firewall
● Servidor web entre in firewall interno y otro
externo
Tecnicas de identificacion
computarizadas
Sistemas Basados en claves de acceso (Algo
que se sabe):
● Se asigna a cada usuario un nombre y
una clave.
● Las claves debenestar almacenadas
para su comparación.
● La clave puede ser interceptada.
● Las personas pueden olvidar su clave.
● Las personas eligen claves predecibles
con facilidad.
● Las personas confían sus claves a otros.
Prendas físicas (algo que se tiene)
Usar un objeto (tarjetas, memorias usb, etc)
como medio de identificación
● El objeto no prueba quien es la persona
● Si una personapierde la tarjeta también
pierde sus permisos.
● Algunas objetos pueden ser falsificados
con facilidad.
Biométrica (Algo que se es)
Medición física de la persona comparada con
datos almacenados.
● Imagen de rostro de una persona
● Huellas digitales
● Huellas de pie y estilos de caminar
● Forma y tamaño de la mano
● Patrón de vasos sanguíneos de la retina
● Patrones DNA
● Impresionesde voz
● Tecnicas de caligrafia
● Forma de teclear
Ubicación (algun lugar en el que se
esta)
Sistemas de autenticación con base en los
sistemas GPS
Autenticación mediante firmas
digitales
Llave privada:
Se utiliza para firmar un bloque de datos.
Llave pública:
Se utiliza para verificar la firma una vez
puesta
Dispositivos físicos para firmas
digitales
Se han desarrolladomuchas formas de
proteger las llaves privadas.
● Almacenar la llave encriptada en el disco
duro.
● Almacenar la llave encriptada en medios
removibles.
● Almacenar la llave en una tarjeta u otro
dispositivo "inteligente"
Autoridades certificadoras
Organización que emite certificados de llave
pública.
●
●
●
●
CA Interna.
CA externa de empleados
CA externa de clientes
CA...
WEB
Partes principales de la seguridad
en la Web
● Asegurar el servidor y los datos que
contiene
● Asegurar la información que viaja entre el
servidor y el usuario
● Asegurar la computadora del usuario
Otros requisitos de seguridad
● Verificar la identidad del usuario al servidor
● Verificar la identidad del servidor al usuario
● Asegurar que los mensajes seanenviados
entre cliente y servidor en forma oportuno,
confiable y sin repeticiones
● Llevar bitacoras y auditar informacion
● Equilibrar la carga entre varios servidores
Asegurar la información en transito
● Asegurar físicamente la red, de forma que la
intercepción sea imposible
● Ocultar la información que se desea
asegurar dentro de la información
● Encriptar la información Transacción Típica
Número de tarjeta interceptado
Hacerse el cargo a la tarjeta y no llegar nunca
el producto
Riesgos para el cliente
● Información de la transacción usada en su
contra a futuro.
● Que el comerciante tenga información de
compras del cliente y utilice los datos para
manipular los precios.
● Que se pueda obtener el control del
navegador del cliente y acceder a datosconfidenciales
Riesgos para el comerciante
● Que el cliente encuentre el sitio web caído.
● El cliente podría ser en realidad un
competidor buscando información
● El cliente podría ser en realidad otra
persona con una tarjeta robada.
● Un hacker podría violar la seguridad del
comerciante y acceder a datos
confidenciales de los clientes
● El hacker podría ingresar órdenes falsas
directamenteen la base de pedidos
Riesgos para el comerciante
● El hacker podría agregar ordenes para
revertir cargos a su propia tarjeta.
● El hacker podría alterar los pedidos para
que los clientes reciban productos diferentes
a los pedidos.
● El hacker podría simplemente acceder a los
datos y modificar los precios publicados.
Firewalls: Parte de la solución
Un firewall es un dispositivo queaísla la red
interna de una organización del resto de
Internet.
Servidor Web y Firewall
● Servidor web fuera del firewall
● Servidor web dentro del firewall
● Servidor web entre in firewall interno y otro
externo
Tecnicas de identificacion
computarizadas
Sistemas Basados en claves de acceso (Algo
que se sabe):
● Se asigna a cada usuario un nombre y
una clave.
● Las claves debenestar almacenadas
para su comparación.
● La clave puede ser interceptada.
● Las personas pueden olvidar su clave.
● Las personas eligen claves predecibles
con facilidad.
● Las personas confían sus claves a otros.
Prendas físicas (algo que se tiene)
Usar un objeto (tarjetas, memorias usb, etc)
como medio de identificación
● El objeto no prueba quien es la persona
● Si una personapierde la tarjeta también
pierde sus permisos.
● Algunas objetos pueden ser falsificados
con facilidad.
Biométrica (Algo que se es)
Medición física de la persona comparada con
datos almacenados.
● Imagen de rostro de una persona
● Huellas digitales
● Huellas de pie y estilos de caminar
● Forma y tamaño de la mano
● Patrón de vasos sanguíneos de la retina
● Patrones DNA
● Impresionesde voz
● Tecnicas de caligrafia
● Forma de teclear
Ubicación (algun lugar en el que se
esta)
Sistemas de autenticación con base en los
sistemas GPS
Autenticación mediante firmas
digitales
Llave privada:
Se utiliza para firmar un bloque de datos.
Llave pública:
Se utiliza para verificar la firma una vez
puesta
Dispositivos físicos para firmas
digitales
Se han desarrolladomuchas formas de
proteger las llaves privadas.
● Almacenar la llave encriptada en el disco
duro.
● Almacenar la llave encriptada en medios
removibles.
● Almacenar la llave en una tarjeta u otro
dispositivo "inteligente"
Autoridades certificadoras
Organización que emite certificados de llave
pública.
●
●
●
●
CA Interna.
CA externa de empleados
CA externa de clientes
CA...
Leer documento completo
Regístrate para leer el documento completo.