mediante firewalls -que filtran y bloquean gran parte del trfico de Internet-, cierran casi todos los
puertos TCP salvo el 80, que es, precisamente, el que usan los navegadores. Los servicios Web
utilizan este puerto, por la simple razn de que no resultan bloqueados. Es importante sealar que
los servicios web se pueden utilizar sobre cualquier protocolo, sin embargo, TCP es el ms comn.
Otra razn es que, antes de que existiera SOAP, no haba buenas interfaces para acceder a las
funcionalidades de otros ordenadores en red. Las que haba eran ad hoc y poco conocidas, tales
como EDI (Electronic Data Interchange), RPC (Remote Procedure Call), u otras APIs.
Una tercera razn por la que los servicios Web son muy prcticos es que pueden aportar gran
independencia entre la aplicacin que usa el servicio Web y el propio servicio. De esta forma, los
cambios a lo largo del tiempo en uno no deben afectar al otro. Esta flexibilidad ser cada vez ms
importante, dado que la tendencia a construir grandes aplicaciones a partir de componentes
distribuidos ms pequeos es cada da ms utilizada.
Se espera que para los prximos aos mejoren la calidad y cantidad de servicios ofrecidos
basados en los nuevos estndares.
Plataformas
Servidores de aplicaciones para servicios Web:
ColdFusion MX de [[Macromedia]httpd ]
Jakarta Tomcat)
Microsoft .NET
WebLogic
WebSphere
y VT
PHP
Autenticacin de los interlocutores. Cada servicio Web participante en una interaccin podra
requerir autenticacin de la otra parte. Cuando cierto servicio A dirige una peticin al servicio B,
ste puede requerirle unas credenciales junto con una
demostracin de que le pertenecen como por ejemplo un par nombre de usuario
(credencial)/password (demostracin) o un certificado X.509v3 (credencial)/firma digital
(demostracin).
- Autorizacin. Los servicios Web deben disponer de mecanismos que les permitan controlar el
acceso a sus servicios (recursos). Se debe poder determinar quin y cmo puede hacer a qu y
cmo sobre sus recursos. La autorizacin concede permisos de ejecucin de ciertos tipos de
operaciones sobre ciertos recursos a ciertas identidades autenticadas.
- Integridad. Esta propiedad garantiza a un servicio Web que la informacin que recibe es la
misma que la informacin que fue enviada desde un sistema cliente.
- No repudio. Cuando se realizan transacciones suele ser un requisito ser capaz de probar que
una accin tuvo lugar y que fue realizada por cierto actor. En el caso de los servicios Web, es
necesario ser capaz de demostrar que un cliente utiliz un servicio pese a que ste lo niegue (no
repudio del solicitante) as como demostrar que un servicio fue ejecutado (no repudio del receptor).
- Disponibilidad. La necesidad de cuidar el aspecto de disponibilidad, como prevenir ataques de
denegacin del servicio (DoS) o disponer de redundancia de los sistemas, es un punto crucial en la
tecnologa de los servicios Web sobre todo en aquellos casos en los que los servicios en cuestin
son de alta criticidad: servicios en tiempo real, servicio de CRLs, etc.
- Auditabilidad. Los sistemas basados en servicios Web deben mantener una traza de todas las
acciones que llevan a cabo de forma que sea posible realizar un anlisis posterior que permita
averiguar, por ejemplo, lo ocurrido en escenarios de desastre.
- Seguridad extremo-a-extremo (Saltzer, Reed, & Clark, 1984). Las topologas de redes de
servicios Web requieren la garanta de que la seguridad se mantenga a lo largo del recorrido
seguido por los mensajes entre los dos extremos de la comunicacin.
El hecho de que puedan existir intermediarios en el camino del mensaje que puedan procesar parte
del mismo exige un extra de seguridad que, no slo garantice que el transporte entre los extremos
y a travs de los intermediarios es seguro, sino que adems garantice la seguridad en cada nodo
encontrado en el camino.
El consorcio WS-I (www.ws-i.org) es otro consorcio abierto al que pertenecen alrededor de 150
compaas cuyo principal papel en los servicios Web es promover la interoperabilidad entre
plataformas, la adopcin de esta forma de computacin distribuida, y acelerar su desarrollo
actuando como gua y definiendo catlogos de buenas prcticas as como cualquier otro tipo de
recurso que mejore su interoperabilidad.
La seguridad no queda fuera del alcance de este propsito y, como muestra, se encuentra
actualmente en desarrollo la especificacin WS-I Basic Security Profile 1.0 (WS-I, 2004) que define
una serie de restricciones sobre el uso de los estndares de seguridad en los servicios Web. Esta
especificacin normaliza el uso de los estndares de seguridad descritos en este artculo,
indicando qu versiones y de qu manera deben ser aplicados. De esta forma, si disponemos de
un proceso de negocio que queremos hacer accesible desde Internet, y queremos emplear los
estndares de seguridad aqu mencionados, estando adems seguros de que estamos realizando
un uso estndar y correcto de los mismos, sera ideal ajustarnos a este perfil con el objeto de poder
integrarlo con la mayor rapidez posible en el mercado.