Existen diferentes mtodos de procesar transacciones en una compra, protocolos que lo

hacen de manera segura, por lo tanto, echaremos un vistazo a lo que se refiere en

seguridad con SSL.
La seguridad de un sitio electrnico
tiene que ser confiable para que el mismo tenga xito.
Siendo franco, el ndice de personas que compran en lnea ha crecido bastante
en los ltimos 2 aos. Y esto se debe a la confiabilidad que estn brindando
los sitios de comercio electrnico.
La seguridad en un ambiente de comercio electrnico involucra las siguientes
partes:

Privacidad: que
las transacciones no sean visualizadas por nadie.
Integridad: que
los datos o transacciones como nmeros de tarjeta de crditos o pedidos
no sean alterados.
No Repudio: posibilita
que el que gener la transaccin se haga responsable de ella, y brinda la
posibilidad de que este no la niegue.
Autenticacin: que los que intervienen en la transaccin sean leales y vlidas.
Facilidad:
que las partes que intervienen en la transaccin no encuentren dificultad
al hacer la transaccin.

Herramientas para proteger un sitio de E-commerce

Las estructuras de seguridad de un sitio de e-commerce no vara con las de un
sitio tradicional, pero si se implementa el protocolo SSL en la mayora de los
casos para tener un canal seguro en las transacciones.

Punto1:Usuario conectndose a Punto2 (un sitio de e-commerce como amazon.com)

utilizando un navegador Internet Explorer compatible con el protocolo SSL.
Punto2:El Punto2 como nombramos es un sitio de e-commerce tradicional (compra /
venta) que establece conexiones seguras utilizando SSL para la transacciones, y tambin
posee un Firewall para hacer filtrado de paquetes (Packet Filtering)
Punto3:Este punto es la autoridad que emite los Certificados de Autenticidad, en ingls
Certificate Authority (CA) que por seguridad y es recomendable que sea una tercera
empresa el emisor del certificado no sea interno.

Firewalls (Corta Fuegos)

El Firewall es una herramienta preventiva contra ataques, que realiza una inspeccin
del trfico entrante y saliente. Esto impide que servicios o dispositivos no
autorizados accedan a ciertos recursos y de esta manera protegernos contra ataques
de denegacin de servicios por ejemplo (DoS)
El Firewall puede ser por Software o Hardware o bien combinaciones de estos
pero que no sern tratados aqu por que va ms all de este artculo.

Comenzando con SSL

SSL
es un protocolo que corre sobre TCP
(protocolo de transporte punto a punto de Internet). Este se compone de dos
capas y funciona de la siguiente manera:

La primera capa se encarga de encapsular

los protocolos de nivel ms alto

La segunda capa que se llama SSL

Handshake Protocol se encarga de la negociacin de los algoritmos que van a
encriptar y tambin la autenticacin entre el cliente y el servidor.

Cuando se realiza una conexin inicial el cliente lo primero que hace es enviar una
informacin con todo los sistemas de encriptacin que soporta, el primero de la lista es
el que prefiere utilizar el cliente. Entonces el servidor responde con una clave
certificada e informacin sobre los sistemas de encriptacin que este soporta.
Entonces el cliente seleccionar un sistema de encriptacin, tratar de desencriptar
el mensaje y obtendr la clave pblica del servidor.
Este mtodo de seguridad es de lo mejor ya que por cada conexin que se hace
el servidor enva una clave diferente. Entonces si alguien consigue desencriptar
la clave lo nico que podr hacer es cerrarnos la conexin que corresponde a
esa clave.
Cuando se logra el este primer proceso que es la sesin solamente, los que actuarn
ahora son los protocolos de capa 7 del OSI o sea la capa de Aplicacin, claro
que todo lo que se realice a partir de que tenemos una sesin SSL establecida
estar encriptado con SSL.

Certificados
Un Certificate Authority (CA) es generalmente una empresa que emite certificados.
Si el CA es una empresa externa que emite certificados de autenticidad de clientes
o empresas. Por ejemplo:
<A
href="http://www.verisign.com/">
Versign.com

Que es lo que tiene un certificado?

Un certificado contiene la siguiente informacin:

Dominio para el que se expidi (por ejemplo <A

href="http://www.segurired.com/">http://www.segurired.com/)
Dueo del Certificado
Domicilio del Dueo
Y la fecha de validez del mismo.

Un ejemplo es cuando compramos un libro de amazon.com

por ejemplo
Me conectar a http://www.amazon.com/

Estamos en un sitio comn, la barra de estado del Internet

Explorer nos indica que estamos en un sitio de Zona Internet y la direccin
en que estamos ubicados comienza con http://..
Ahora la siguiente pantalla nos mostrar cuando quiero hacer el Check Out o
Pago de los libros que compr.

Ahora un pequeo candado me indica que estoy en un servidor

seguro, y que puedo incluir mis datos. Otro indicador es la direccin de web
que ahora comienza con https://. y no con http://.
Pero si no confiamos, podemos hacer doble clic sobre el candado amarillo y
obtendremos
informacin sobre el certificado del servidor amazon.com

Esta es la informacin bsica del certificado, que nos confirma

que si estamos conectados al servidor correcto que es amazon.com y el certificado
fue emitido por un CA que es Verisign o sea una tercera empresa que no tiene
que ver nada con la empresa de donde estamos haciendo compras.
Haciendo clic en la pestaa Detalles podremos tener ms informacin tcnica
sobre el Certificado:

El algoritmo utilizado, la versin de SSL, el algoritmo de

identificacin, la fecha de valides que posee, entre otros.
La fuerza de cifrado que esta utilizando RSA(1024bits) que es un cifrado muy
fuerte.
Volviendo a nuestro grfico de cmo funcionaba un sitio de e-commerce,
identifiquemos
los 3 puntos:

El Punto1: el usuario soy yo, me conecto al sitio Punto2 que

es Amazon.com
Punto2: me muestra los productos, que voy a comprar, yo los
selecciono y proceso a ir al sitio seguro. Entonces el Punto2 me contacta con
el Punto3, el cual me enva la direccin del certificado para el Punto2, donde
me dice si es vlido o no.
Utilizar SSL tiene beneficios grandes, ya que es un estndar no hace falta instalar
ningn software adicional de lado del cliente, y tampoco de lado del servidor,
ya que la mayora de los servidores web como son IIS (Internet Information Server)
y Apache ya poseen soporte para SSL conexiones seguras. Los navegadores de Internet
ms populares como lo son el Internet Explorer y el Netscape tambin ya poseen
soporte para SSL.
Tambin da una prueba de que su servidor web es su servidor web, es decir que
est protegiendo la identidad de su sitio web.
El 95% de los pagos de Internet se realizan utilizando hoy en da SSL.
SSL no depende de ningn sistema operativo, es independiente, puede ser utilizado
sobre cualquier plataforma, independiente.

Como se negocia con SSL?

El protocolo http normal "escucha" en el puerto 80, el puerto SSL por defecto
"escucha" en el puerto 443 del servidor.

Luego cuando el cliente se conecta al puerto 443 del servidor comienzan las primeras
"negociaciones" de los protocolos, que ya hemos explicado ms arriba en este texto.
Toda esta comunicacin es encriptada, hasta que se cierre la misma.
Aparte de SSL existen otros protocolos como el SET creado por Mastercard y Visa
junto con lideres de la informtica como Microsoft, Verisign y otras empresa ms.
Junto con el CyberCash son soluciones creadas para la venta por Internet.

Infraestructura de Clave Pblica o Public Key Insfrastructure

(PKI)
Esta basada en criptografa de clave pblica, que permite la gestin de certificados.
Una PKI es una fusin de soluciones dadas en hardware, software y polticas
de seguridad. PKI como nombr anteriormente est dada por la utilizacin de
Certificados Digitales o bien un documento digital que identifica cualquier
transaccin.

Que provee PKI:

Confidencialidad (Privacidad)
Integridad de los Mensajes
(no modificaciones en el trayecto)
Autenticacin
No repudio (No
poder denegar una accin en el mensaje emitido por un remitente)
Control de Acceso:
Solo usuarios autorizados pueden acceder.

Componentes:

Poltica de Seguridad: establece la manera en que una organizacin ejecutar

procesos de gestin
de claves pblicas y privadas.
Autoridad Certificante (CA): del ingls Certificate Authority, se encarga de
generar los Certificados Digitales,
usando una clave privada para firmarlos. Otras funciones de una CA son:
o Emitir Certificados
o Revocar certificados y crear CRLs (Certificate Revocation
List) que son listas de certificados ya no vlidos.
Autoridad de Registro (RA): es la entidad encargada de gestionar altas y bajas
de las peticiones de certificacin
como as tambin de la revocacin. Entonces un usuario que desea solicitar
un certificado de clave pblica se debe dirigir a una RA autorizada por una
CA.
Autoridad de Validacin (VA): proporciona informacin sobre el estado de los
certificados. Realiza las consultas
de todas las CRLs necesarias para saber el estado del certificado que se le
ha pasado en una peticin de validacin.

Sistema de Distribucin de
Certificados: El sistema de distribucin puede ser variado, esto
depende ya de la estructura PKI que utilicemos.
Aplicaciones habilitadas por
PKI:
o Comunicacin entre servidores
o Correo Electrnico
o EDI (Intercambio Electrnico
de Datos)
o Transacciones con tarjeta de Crditos
o Redes Virtuales Privadas
(VPN)

En esta imagen presenta la

misma funcin en un sitio de Internet que el CA cumple de VA, y RA, dado que
es una Empresa Certificadora Externa.

El Nmero 3 es nuestro CA
que se encarga de:

Emitir el Certificado
Validar la autenticidad del Emisor y Receptor (Punto
1 y 2)
Mantener una base de datos con los certificados vlido
y los removimos.

Esta sesin por lo tanto es privada, Integra,

soporta no repudio y tambin autenticacin.

Esto es todo por lo menos

en la parte terica.
En el prximo artculo espero
hablar de soluciones reales, como instalar un certificado digital en el servidor
como Activar SSL, y pedir un certificado de Prueba a Verisign. Con esto montaremos
un servidor seguro con SSL.
Ante errores, fallos de conceptos dirigirse a <A
href="mailto:webmaster@astrito.com">webmaster@astrito.com o
http://www.astrito.com/
Gracias.
Bibliografa:

<A
href="http://www.opengroup.org/public/tech/security/pki/">http://www.opengro
up.org/public/tech/security/pki/
Public Key Infrastructure Open Group.
<A
href="http://www.asianlaws.org/infosec/library/pki/pki.htm">http://www.asianla
ws.org/infosec/library/pki/pki.htm
Asian School of CyberLaws
<A
href="http://www.microsoft.com/technet/treeview/default.asp?
url=/technet/prodtechnol/windows2000serv/reskit/distsys/part2/dsgch16.asp">ht
tp://www.microsoft.com/technet/treeview/default.asp?url=/technet
Dando soporte a una PKI Technet Microsoft
Curso NSP Network Security
Program NetK, Proydesa Argentina, curso cerrado para alumnos <A
href="http://seguridad.proydesa.org/">http://seguridad.proydesa.org/ Proyectos
y Desarrollos Argentinos.