Seguridad en el comercio electronico
47
2. SEGURIDAD AL COMERCIO ELECTRONICO
description
Transcript of Seguridad en el comercio electronico
2. SEGURID
AD AL
COMERCIO
ELECTRONICO
Existe un riesgo en el comercio electrónico, al realizar una transacción por Internet, el comprador teme por la posibilidad de que sus datos personales sean interceptados por "alguien", y suplante así su identidad;
Protocolo SET: Secure Electronic Transactions es un conjunto de especificaciones desarrolladas por VISA y MasterCard, , que da paso a una forma segura de realizar transacciones electrónicas
La SET dirige sus procesos a:
Proporcionar la autentificación necesaria.
Garantizar la confidencialidad de la información sensible.
Preserva la integridad de la información.
Definir los algoritmos criptográficos y protocolos necesarios para los servicios anteriores.
Los Hackers: Son usuarios muy avanzados que por su elevado nivel de conocimientos técnicos son capaces de superar determinadas medidas de protección.
El cortafuegos impide a los usuarios no autorizados acceder a los ordenadores de una red, y garantiza que la información recibida de una fuente externa no contenga virus.
2.1 INTRODUCCION A LA CRIPTOGRAFIA
La palabra Criptografía proviene del griego
"kryptos" que significa oculto, y "graphia", que
significa escritura, y su definición según el
diccionario es "Arte de escribir con clave secreta o
de un modo enigmático".
SIGNIFICADO
A la letra 'A' le corresponde la 'D', a la letra 'B' la 'E 'y as í
sucesivamente.....
El cifrado césar y otros cifrados de sustitución mono
alfabeto. Consistía en escribir el mensaje con un
alfabeto que estaba formado por las letras del alfabeto
latino normal desplazadas tres posiciones a la
derecha.
EJEMPLO
CON NUESTRO ALFABETO EL SISTEMA
QUEDARÍA ASÍ:
ALFABETO EN CLARO:
A B C D E F G H I J K L M N Ñ O P Q R S T
U V W X Y Z
ALFABETO CIFRADO:
D E F G H I J K L M N Ñ O P Q R S T U V W
X Y Z A B CSi se quiere enviar el mensaje ATACARALAMANECER, lo
que se escribirá realmente es DWDFDUDÑDODPHFHU
El receptor del mensaje conocía la clave secreta de éste
(es decir, que estaba escrito con un alfabeto
desplazado tres posiciones a la derecha).
1. AUTENTIFICACIÓNEs el proceso de verificar formalmente la identidad de
las entidades participantes en una comunicación o intercambio de información.
Existen varias formas de poder autentificarse:
1. Basada en claves
2. Basada en direcciones
3. Criptográfica
Es la propiedad de la seguridad que
permite mantener en secreto la
información y solo los usuarios
autorizados pueden manipularla.
2. CONFIDENCIALIDAD
La integridad de la información corresponde a lograr que
la información transmitida entre dos entidades no sea
modificada por un tercero y esto se logra mediante la
utilización de firmas digitales.
3. INTEGRIDAD
4. NO- REPUDIO
Los servicios de no-repudio ofrecen una prueba
al emisor de que la información fue entregada y
una prueba al receptor del origen de la
información recibida.
Es una combinación de hardware y software, políticas y procedimientos de seguridad que permiten la ejecución con garantías de operaciones criptográficas como el cifrado, la firma digital o el no repudio de transacciones electrónicas.
La tecnología PKI permite a los usuarios autenticarse frente a otros usuarios y usar la información de los certificados de identidad, para cifrar y descifrar mensajes, firmar digitalmente información, garantizar el envío, y otros usos.
La autoridad de certificación
La autoridad de registro
Los repositorios
La autoridad de validación
La autoridad de sellado de tiempo
*Todo certificado válido, ha de ser emitido por una Autoridad
*El poseedor de un certificado es responsable de la conservación
*Las entidades de registro
*El poseedor de un certificado válido puede usar dicho certificado*Toda operación que realice el poseedor de un certificado*Las comunicaciones con seguridad PKI no requieren del intercambio
Los sistemas de PKI, de distintos tipos y proveedores, tienen muchos usos, incluyendo la asociación de una llave pública con una identidad para:
Cifrado y/o autenticación de mensajes de correo electrónico
Cifrado y/o autenticación de documentos
Autenticación de usuarios o aplicaciones
Bootstrapping de protocolos seguros de comunicación
2.3 FIRMA ELECTRONICA Y CERTIFICADOS
DIGITALES.
se podría decir que una firma electrónica es una firma digital contenida o almacenada en un contenedor electrónico, normalmente un chip ROM
Su principal característica diferenciadora respecto a la firma digital es su cualidad de ser inmodificable
La firma electrónica es una firma digital que se ha almacenado en un soporte hardware; mientras que la firma digital se puede almacenar tanto en soportes hardware como software.
La firma electrónica es un conjunto de datosque se adjuntan a un mensaje electrónico, con el propósito de identificar al emisor del mensaje como autor legítimo de éste, tal y como si se tratara de una firma autógrafa.
brinda seguridad a las transacciones electrónicas de tal forma que se puede identificar al autor del mensaje y verificar que éste no haya sido modificado.
Las características y usos de la firma electrónica son exactamente los mismos que los de la firma digital con la única diferenciación del tipo de soporte en el que se almacenan.
Firma electrónica móvil :Un usuario de Internet que haya obtenido el certificado electrónico denominado Firma Electrónica Móvil, puede realizar todo tipo de trámites de forma que queda garantizada su verdadera identidad. Además permite firmar electrónicamente formularios y documentos electrónicos con la misma validez jurídica que si firmara con su "puño y letra" el mismo documento en papel.
Para la obtención del mismo tan sólo deberá disponer de un certificado electrónico FNMT, una tarjeta SIM habilitada para Firma Electrónica Móvil que deberá proporcionar el operador de telefonía móvil y un teléfono móvil que soporta la firma electrónica (como ocurre con los más modernos).
Un certificado electrónico o digital es un conjunto de datos que permiten la identificación del titular del certificado, intercambiar información con otras personas y entidades, de manera segura, y firmar electrónicamente los datos que se envían de tal forma que se pueda comprobar su integridad y procedencia.
es un documento electrónico mediante el cual un tercero confiable garantiza la vinculación entre la identidad de un sujeto o entidad y su clave pública.
El certificado electrónico garantiza:
•La autenticidad de las personas y entidades que intervienen en el intercambio de información.
•Confidencialidad: que solo el emisor y el receptor vean la información.
•La integridad de la información intercambiada, asegurando que no se produce ninguna manipulación.
•El no repudio, que garantiza al titular del certificado que nadie más que él puede generar una firma vinculada a su certificado y le imposibilita a negar su titularidad en los mensajes que haya firmado.
2.4 PROTOCOLO SSL (SECURE SOCKET LAYER)
La seguridad en un ambiente de comercio electrónico involucra las siguientespartes: •Privacidad: que las transacciones no sean visualizadas por nadie. •Integridad: que los datos o transacciones como números de tarjeta de créditos o pedidos no sean alterados. •No Repudio: posibilita que el que generó la transacción se haga responsable de ella, y brinda la posibilidad de que este no la niegue. •Autenticación: que los que intervienen en la transacción sean leales y válidas. •Facilidad: que las partes que intervienen en la transacción no encuentren dificultadal hacer la transacción.Las estructuras de seguridad de un sitio de e-commerce no varía con las de unsitio tradicional, pero si se implementa el protocolo SSL en la mayoría de loscasos para tener un canal seguro en las transacciones
•Punto1:Usuario conectándose a Punto2 (un sitio de e-commercecomo amazon.com) utilizando un navegador Internet Explorer compatible con elprotocolo SSL.•Punto2:El Punto2 como nombramos es un sitio de e-commerce tradicional (compra/venta)que establece conexiones seguras utilizando SSL para la transacciones, y tambiénposee un Firewall para hacer filtrado de paquetes (Packet Filtering)•Punto3:Este punto es laautoridad que emite los Certificados de Autenticidad, en inglés CertificateAuthority (CA) que por seguridad y es recomendable que sea una tercera empresael emisor del certificado no sea interno.•Firewalls (Corta Fuegos)•El Firewall es una herramienta preventiva contra ataques, que realiza un inspeccióndel tráfico entrante y saliente. Esto impide que servicios o dispositivos noautorizados accedan a ciertos recursos y de esta manera protegernos contra ataquesde denegación de servicios por ejemplo (DoS) •El Firewall puede ser por Software o Hardware o bien combinaciones de estospero que no serán tratados aquí por que va más allá de este artículo.
2.5 PRIVACIDAD
UNA EMPRESA SE COMPROMETE A ASEGURAR LA PRIVACIDAD DE LA INFORMACIÓN PERSONAL A TRAVÉS DE SUS SERVICIOS EN LÍNEA.
¿QUE TIPO DE INFORMACIÓN PERSONAL SE OBTIENE?
NOMBRE(S) Y APELLIDOS. CORREO ELECTRÓNICOS. TELÉFONO.
LA EMPRESA SE COMPROMETE A GUARDAR SU INFORMACIÓN AL MOMENTO DE REALIZAR UNA COMPRA EN LÍNEA, SE PEDIRÁN DATOS BANCARIOS PARA LOS CUALES SE COMPROMETE LA EMPRESA A OFRECER SU PRIVACIDAD Y CONFIDENCIALIDAD DE SUS DATOS
¿PROTECCIÓN AL CONSUMIDOR?
SOLO SE PODRÁ DIFUNDIR LA INFORMACIÓN EN CASOS ESPECIALES CUANDO PUEDA SERVIR PARA IDENTIFICAR LOCALIZAR O REALIZAR ACCIONES LEGALES.
ARTÍCULO 197. PARA DESCUBRIR LOS SECRETOS O VULNERAR LA INTIMIDAD DE OTRO, SIN SU CONSENTIMIENTO, SE APODERE DE SUS PAPELES, CARTAS, MENSAJES DE CORREO ELECTRÓNICO O CUALESQUIERA OTROS DOCUMENTOS O EFECTOS PERSONALES, INTERCEPTE SUS TELECOMUNICACIONES O UTILICE ARTIFICIOS TÉCNICOS DE ESCUCHA, TRANSMISIÓN, GRABACIÓN O REPRODUCCIÓN DEL SONIDO O DE LA IMAGEN, O DE CUALQUIER OTRA SEÑAL DE COMUNICACIÓN, SERÁ CASTIGADO CON LAS PENAS DE PRISIÓN DE UNO A CUATRO AÑOS Y MULTA DE DOCE A VEINTICUATRO MESES.”
2.6 SEGURIDAD EN
EL SERVICIO
COMERCIO ELECTRONICO
Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce una política de seguridad establecida.
Es el mecanismo encargado de proteger una red confiable de una que no lo es (por ejemplo Internet).COMERCIO ELECTRONICO
Puede consistir en distintos dispositivos, tendientes a los siguientes objetivos:
1. Todo el tráfico desde dentro hacia fuera, y viceversa, debe pasar a través de él.
2. Sólo el tráfico autorizado, definido por la política local de seguridad, es permitido.
COMERCIO ELECTRONICO
En cambio, si se conectan dos redes del tipo LAN se utilizan Bridges, los cuales son puentes que operan a nivel de Enlace.
Los Routers "toman decisiones" en base a un conjunto de datos, regla, filtros y excepciones que le indican que rutas son las más apropiadas para enviar los paquetes.
ROUTERS Y BRIDGES
COMERCIO ELECTRONICO
Los Routers son dispositivos electrónicos encargados de establecer comunicaciones externas y de convertir los protocolos utilizados en las LAN en protocolos de WAN y viceversa.
COMERCIO ELECTRONICO
TIPOS DE FIREWALL
Debido a su funcionamiento y estructura basada en el filtrado de direcciones y puertos este tipo de Firewalls trabajan en los niveles de Transporte y de Red del Modelo OSI y están conectados a ambos perímetros (interior y exterior) de la red.Tienen la ventaja de ser económicos, tienen un alto nivel de desempeño y son transparentes para los usuarios conectados a la red. Sin embargo presenta debilidades como:1. No protege las capas superiores a nivel OSI.2. Las necesidades aplicativas son difíciles de traducir como filtros de protocolos y puertos.3. No son capaces de esconder la topología de redes privadas, por lo que exponen la red al mundo exterior.4. Sus capacidades de auditoría suelen ser limitadas, al igual que su capacidad de registro de actividades.5. No soportan políticas de seguridad complejas como autentificación de usuarios y control de accesos con horarios prefijados.
FILTRADO DE PAQUETES
COMERCIO ELECTRONICO
El Proxy, instalado sobre el Nodo Bastión, actúa de intermediario entre el cliente y el servidor real de la aplicación, siendo transparente a ambas partes.
PROXY-GATEWAY DE APLICACIONES DUAL-HOMED
HOST Se utilizan dos conexiones. Uno desde la máquina interior hasta el Firewall y el otro desde este hasta la máquina que albergue el servicio exterior.
COMERCIO ELECTRONICO
SCREENED HOSTEn este caso se combina un Routers con un host bastión y el principal nivel de seguridad proviene del filtrado de paquetes. En el bastión, el único sistema accesible desde el exterior, se ejecuta el Proxy de aplicaciones y en el Choke se filtran los paquetes considerados peligrosos y sólo se permiten un número reducido de servicios.
SCREENED SUBNET
El Routers exterior tiene la misión de bloquear el tráfico no deseado en ambos sentidos: hacia la red interna y hacia la red externa. El Routers interior hace lo mismo con la red interna y la DMZ
COMERCIO ELECTRONICO
Este tipo de Firewalls se basa en el principio de que cada paquete que circula por la red es inspeccionado, así como también su procedencia y destino. Se aplican desde la capa de Red hasta la de Aplicaciones. Generalmente son instalados cuando se requiere seguridad sensible al contexto y en aplicaciones muy complejas.
INSPECCIÓN DE PAQUETES
FIREWALLS PERSONALES
Estos Firewalls son aplicaciones disponibles para usuarios finales que desean conectarse a una red externa insegura y mantener su computadora a salvo de ataques que puedan ocasionarle desde un simple "cuelgue" o infección de virus hasta la pérdida de toda su información almacenada.
COMERCIO ELECTRONICO
¿Qué se debe proteger?. Se deberían proteger todos los elementos de la red interna (hardware, software, datos, etc.).
¿De quién protegerse?. De cualquier intento de acceso no autorizado desde el exterior y contra ciertos ataques desde el interior que puedan preverse y prevenir.
¿Cómo protegerse?. está orientada a establecer el nivel de monitorización, control y respuesta deseado en la organización.
¿Cuánto costará?. Estimando en función de lo que se desea proteger se debe decidir cuanto es conveniente invertir.
POLÍTICAS DE DISEÑO DE FIREWALLS
COMERCIO ELECTRONICO
Se permite cualquier servicio excepto aquellos expresamente prohibidos. Se prohíbe cualquier servicio excepto aquellos expresamente permitidos. La más recomendada y utilizada aunque algunas veces suele acarrear problemas por usuarios descontentos que no pueden acceder a tal cual servicio.
Paranoica: se controla todo, no se permite nada.Prudente: se controla y se conoce todo lo que sucede.Permisiva: se controla pero se permite demasiado.Promiscua: no se controla (o se hace poco) y se permite todo.
PARADIGMAS DE SEGURIDAD
RESTRICCIONES EN EL FIREWALL
COMERCIO ELECTRONICO
BENEFICIOS DE UN FIREWALL
I.-MANEJAN
EL ACCESO
ENTRE DOS
REDESII. PUNTO IDEAL PARA
MONITOREAR LA SEGURIDAD DE LA RED Y GENERAR ALARMAS DE INTENTOS DE ATAQUE
III. LLEVAN LAS ESTADÍSTICAS DEL ANCHO DE
BANDA "CONSUMIDO"
POR EL TRAFICO DE LA RED
SE PUEDEN USAR PARA DIVIDIR PARTES DE UN SITIO QUE TIENEN DISTINTAS NECESIDADES DE SEGURIDAD O PARA ALBERGAR LOS SERVICIOS WWW Y FTP BRINDADOS.
OTROS USOS
COMERCIO ELECTRONICO
LA LIMITACIÓN MÁS GRANDE QUE TIENE UN FIREWALL SENCILLAMENTE ES EL HUECO QUE NO SE TAPA Y QUE COINCIDENTEMENTE O NO, ES DESCUBIERTO POR UN INTRUSO.
LOS FIREWALLS NO SON SISTEMAS INTELIGENTES, ELLOS ACTÚAN DE ACUERDO A PARÁMETROS INTRODUCIDOS POR SU DISEÑADOR, POR ENDE SI UN PAQUETE DE INFORMACIÓN NO SE ENCUENTRA DENTRO DE ESTOS PARÁMETROS COMO UNA AMENAZA DE PELIGRO SIMPLEMENTE LO DEJA PASAR.
OTRA LIMITACIÓN ES QUE EL FIREWALL "NO ES CONTRA HUMANOS", ES DECIR QUE SI UN INTRUSO LOGRA ENTRAR A LA ORGANIZACIÓN Y DESCUBRIR PASSWORDS O LOS HUECOS DEL FIREWALL Y DIFUNDE ESTA INFORMACIÓN, EL FIREWALL NO SE DARÁ CUENTA.
LIMITACIONES DE LA FIREWALL
COMERCIO ELECTRONICO
EL FIREWALL TAMPOCO PROVEE DE HERRAMIENTAS CONTRA LA FILTRACIÓN DE SOFTWARE O ARCHIVOS INFECTADOS CON VIRUS, AUNQUE ES POSIBLE DOTAR A LA MÁQUINA, DONDE SE ALOJA EL FIREWALL, DE ANTIVIRUS APROPIADOS.
EL FIREWALL TRABAJA MEJOR SI SE COMPLEMENTA CON UNA DEFENSA INTERNA. COMO MORALEJA: "CUANTO MAYOR SEA EL TRÁFICO DE ENTRADA Y SALIDA PERMITIDO POR EL FIREWALL, MENOR SERÁ LA RESISTENCIA CONTRA LOS PAQUETES EXTERNOS. EL ÚNICO FIREWALL SEGURO (100%) ES AQUEL QUE SE MANTIENE APAGADO"
FINALMENTE, UN FIREWALL ES VULNERABLE, ÉL NO PROTEGE DE LA GENTE QUE ESTÁ DENTRO DE LA RED INTERNA.
GRACIAS
