seguridad aplicada al comercio electronico

Preview:

Click to see full reader

DESCRIPTION

temas de seguridad aplicada al comercio electronico

Citation preview

UNIVERSIDAD DE CIENCIAS Y

ARTES DE CHIAPASOFERTA REGIONALIZADA

SEDE VILLACORZO

6to. SEMESTRE LIC. EN COMERCIACIÓN

COMERCIO ELECTRÓNICO

PRESENTAN:

MARTINA DE LOS SANTOS OCAÑA

YOMARA HERNANDEZ RAMIREZ

MAURICIO JIMENEZ FLECHA

ADELA DEL SOCORRO LEON RUIZ

VICTORIA MACIAS TECO

ANDRY DE JESUS MENDEZ MAZA

ANA YENCI ZAMBRANO GONZALEZ

ASESOR:

MANUEL CASTILLEJOS SALAS

Existe un riesgo en el

comercio electrónico, al

realizar una transacción por

Internet, el comprador teme

por la posibilidad de que sus

datos personales sean

interceptados por "alguien", y

suplante así su identidad;

Protocolo SET: Secure Electronic

Transactions es un conjunto de

especificaciones desarrolladas por VISA

y MasterCard, , que da paso a una

forma segura de realizar transacciones

electrónicas

La SET dirige susprocesos a:

Proporcionar laautentificación necesaria.

Garantizar laconfidencialidad de lainformación sensible.

Preserva la integridad dela información.

Definir los algoritmoscriptográficos yprotocolos necesariospara los serviciosanteriores.

Los Hackers: Son usuariosmuy avanzados que por suelevado nivel deconocimientos técnicosson capaces de superardeterminadas medidas deprotección.

El cortafuegos impide a losusuarios no autorizadosacceder a los ordenadoresde una red, y garantizaque la información recibidade una fuente externa nocontenga virus.

EJEMPLO

http://www.google.com.mx/imgres?imgurl=http://podcastup.files.wordpress.com/2009/11/pki.jpg&imgrefurl=http://podcastup.wordpress.com/category/uncategorized/&usg=__BAnTLUDdIYHKUd3EVUl-MmCYhB4=&h=531&w=733&sz=112&hl=es&start=65&zoom=1&tbnid=zKB8cpBC2n_77M:&tbnh=102&tbnw=141&ei=mMpOT6fsKu2CsgLO5fH9Dw&prev=/search?q=claves+publicas+(pki)&start=63&hl=es&sa=N&gbv=2&tbm=isch&itbs=1

Es una combinación de hardware y software, políticas

y procedimientos de seguridad que permiten la

ejecución con garantías de operaciones criptográficas

como el cifrado, la firma digital o el no repudio de

transacciones electrónicas.

http://es.wikipedia.org/wiki/Archivo:KWord-1.4.2-screenshot.png
http://es.wikipedia.org/wiki/Archivo:OpenOffice.org_Writer.png
http://es.wikipedia.org/wiki/Archivo:Personal_computer,_exploded_5.svg

La tecnología PKI permite a

los usuarios autenticarse

frente a otros usuarios y

usar la información de los

certificados de identidad,

para cifrar y descifrar

mensajes, firmar

digitalmente información,

garantizar el envío, y otros

usos.

La autoridad de certificación

La autoridad de registro

Los repositorios

La autoridad de validación

La autoridad de sellado de tiempo

*Todo certificado válido, ha de ser

emitido por una Autoridad

*El poseedor de un certificado es

responsable de la conservación

*Las entidades de registro

*El poseedor de un certificado válido puede

usar dicho certificado

*Toda operación que realice el poseedor de un

certificado

*Las comunicaciones con seguridad PKI no

requieren del intercambio

Los sistemas de PKI, de distintos tipos y proveedores,

tienen muchos usos, incluyendo la asociación de una

llave pública con una identidad para:

Cifrado y/o autenticación de mensajes de correo

electrónico

Cifrado y/o autenticación de documentos

http://es.wikipedia.org/wiki/Archivo:@@@.svg

Autenticación de usuarios o aplicaciones

Bootstrapping de protocolos seguros de

comunicación

http://es.wikipedia.org/wiki/Archivo:Smartcard3.png

se podría decir que una firma

electrónica es una firma digital

contenida o almacenada en un

contenedor electrónico, normalmente

un chip ROM

Su principal característica

diferenciadora respecto a la firma

digital es su cualidad de ser

inmodificable

La firma electrónica es una firma

digital que se ha almacenado en un

soporte hardware; mientras que la firma

digital se puede almacenar tanto en

soportes hardware como software.

La firma electrónica es un conjunto de datos

que se adjuntan a un mensaje electrónico,

con el propósito de identificar al emisor del

mensaje como autor legítimo de éste, tal y

como si se tratara de una firma autógrafa.

brinda seguridad a las transacciones

electrónicas de tal forma que se puede

identificar al autor del mensaje y verificar

que éste no haya sido modificado.

Las características y usos de la firma

electrónica son exactamente los mismos

que los de la firma digital con la única

diferenciación del tipo de soporte en el que

se almacenan.

Firma electrónica móvil :

Un usuario de Internet que haya obtenido el certificado

electrónico denominado Firma Electrónica Móvil, puede

realizar todo tipo de trámites de forma que queda garantizada

su verdadera identidad. Además permite firmar

electrónicamente formularios y documentos electrónicos con

la misma validez jurídica que si firmara con su "puño y letra"

el mismo documento en papel.

Para la obtención del mismo tan sólo deberá

disponer de un certificado electrónico FNMT,

una tarjeta SIM habilitada para Firma Electrónica

Móvil que deberá proporcionar el operador de

telefonía móvil y un teléfono móvil que soporta la

firma electrónica (como ocurre con los más

modernos).

Un certificado electrónico o digital es un conjunto de datos

que permiten la identificación del titular del certificado,

intercambiar información con otras personas y entidades, de

manera segura, y firmar electrónicamente los datos que se

envían de tal forma que se pueda comprobar su integridad y

procedencia.

es un documento electrónico mediante el cual un

tercero confiable garantiza la vinculación entre la

identidad de un sujeto o entidad y su clave pública.

El certificado electrónico garantiza:

•La autenticidad de las personas y entidades

que intervienen en el intercambio de

información.

•Confidencialidad: que solo el emisor y el

receptor vean la información.

•La integridad de la información

intercambiada, asegurando que no se produce

ninguna manipulación.

•El no repudio, que garantiza al titular del

certificado que nadie más que él puede

generar una firma vinculada a su certificado y

le imposibilita a negar su titularidad en los

mensajes que haya firmado.

La seguridad en un ambiente de comercio electrónico involucra las siguientespartes: •Privacidad: que las transacciones no sean visualizadas por nadie. •Integridad: que los datos o transacciones como números de tarjeta de créditos o pedidos no sean alterados. •No Repudio: posibilita que el que generó la transacción se haga responsable de ella, y brinda la posibilidad de que este no la niegue. •Autenticación: que los que intervienen en la transacción sean leales y válidas. •Facilidad: que las partes que intervienen en la transacción no encuentren dificultadal hacer la transacción.Las estructuras de seguridad de un sitio de e-commerce no varía con las de unsitio tradicional, pero si se implementa el protocolo SSL en la mayoría de loscasos para tener un canal seguro en las transacciones

•Punto1:Usuario conectándose a Punto2 (un sitio de e-commerce

como amazon.com) utilizando un navegador Internet Explorer compatible con el

protocolo SSL.

•Punto2:El Punto2 como nombramos es un sitio de e-commerce tradicional

(compra/venta)

que establece conexiones seguras utilizando SSL para la transacciones, y también

posee un Firewall para hacer filtrado de paquetes (Packet Filtering)

•Punto3:Este punto es la

autoridad que emite los Certificados de Autenticidad, en inglés Certificate

Authority (CA) que por seguridad y es recomendable que sea una tercera empresa

el emisor del certificado no sea interno.

•Firewalls (Corta Fuegos)

•El Firewall es una herramienta preventiva contra ataques, que realiza un inspección

del tráfico entrante y saliente. Esto impide que servicios o dispositivos no

autorizados accedan a ciertos recursos y de esta manera protegernos contra ataques

de denegación de servicios por ejemplo (DoS)

•El Firewall puede ser por Software o Hardware o bien combinaciones de estos

pero que no serán tratados aquí por que va más allá de este artículo.

UNA EMPRESA SE COMPROMETE A ASEGURAR LA

PRIVACIDAD DE LA INFORMACIÓN PERSONAL A

TRAVÉS DE SUS SERVICIOS EN LÍNEA.

¿QUE TIPO DE INFORMACIÓN PERSONAL SE

OBTIENE?

NOMBRE(S) Y APELLIDOS.

CORREO ELECTRÓNICOS.

TELÉFONO.

LA EMPRESA SE COMPROMETE A GUARDAR SU

INFORMACIÓN AL MOMENTO DE REALIZAR UNA

COMPRA EN LÍNEA, SE PEDIRÁN DATOS

BANCARIOS PARA LOS CUALES SE COMPROMETE

LA EMPRESA A OFRECER SU PRIVACIDAD Y

CONFIDENCIALIDAD DE SUS DATOS

¿PROTECCIÓN AL CONSUMIDOR?

SOLO SE PODRÁ DIFUNDIR LA INFORMACIÓN EN

CASOS ESPECIALES CUANDO PUEDA SERVIR

PARA IDENTIFICAR LOCALIZAR O REALIZAR

ACCIONES LEGALES.

ARTÍCULO 197. PARA DESCUBRIR LOS SECRETOS O

VULNERAR LA INTIMIDAD DE OTRO, SIN SU CONSENTIMIENTO,

SE APODERE DE SUS PAPELES, CARTAS, MENSAJES DE

CORREO ELECTRÓNICO O CUALESQUIERA OTROS

DOCUMENTOS O EFECTOS PERSONALES, INTERCEPTE SUS

TELECOMUNICACIONES O UTILICE ARTIFICIOS TÉCNICOS DE

ESCUCHA, TRANSMISIÓN, GRABACIÓN O REPRODUCCIÓN DEL

SONIDO O DE LA IMAGEN, O DE CUALQUIER OTRA SEÑAL DE

COMUNICACIÓN, SERÁ CASTIGADO CON LAS PENAS DE

PRISIÓN DE UNO A CUATRO AÑOS Y MULTA DE DOCE A

VEINTICUATRO MESES.”

Un Firewall es un sistema (o conjunto de

ellos) ubicado entre dos redes y que ejerce

una política de seguridad establecida.

Es el mecanismo encargado

de proteger una red confiable

de una que no lo es (por

ejemplo Internet).

Puede consistir en

distintos dispositivos,

tendientes a los

siguientes objetivos:

1. Todo el tráfico desde dentro hacia fuera, y

viceversa, debe pasar a través de él.

2. Sólo el tráfico autorizado, definido por la

política local de seguridad, es permitido.

En cambio, si se conectan dos redes del tipo LAN se utilizan

Bridges, los cuales son puentes que operan a nivel de Enlace.

Los Routers "toman decisiones" en base a un conjunto de datos,

regla, filtros y excepciones que le indican que rutas son las más

apropiadas para enviar los paquetes.

Los Routers son dispositivos

electrónicos encargados de

establecer comunicaciones

externas y de convertir los

protocolos utilizados en las

LAN en protocolos de WAN y

viceversa.

Debido a su funcionamiento y estructura basada en el filtrado de direcciones y puertos

este tipo de Firewalls trabajan en los niveles de Transporte y de Red del Modelo OSI y

están conectados a ambos perímetros (interior y exterior) de la red.

Tienen la ventaja de ser económicos, tienen un alto nivel de desempeño y son

transparentes para los usuarios conectados a la red. Sin embargo presenta debilidades

como:

1. No protege las capas superiores a nivel OSI.

2. Las necesidades aplicativas son difíciles de traducir como filtros de protocolos y

puertos.

3. No son capaces de esconder la topología de redes privadas, por lo que exponen la red

al mundo exterior.

4. Sus capacidades de auditoría suelen ser limitadas, al igual que su capacidad de

registro de actividades.

5. No soportan políticas de seguridad complejas como autentificación de usuarios y

control de accesos con horarios prefijados.

El Proxy, instalado sobre el Nodo

Bastión, actúa de intermediario entre el

cliente y el servidor real de la

aplicación, siendo transparente a

ambas partes.

Se utilizan dos conexiones.

Uno desde la máquina

interior hasta el Firewall y el

otro desde este hasta la

máquina que albergue el

servicio exterior.

COMERCIO ELECTRONICO

En este caso se combina un Routers

con un host bastión y el principal nivel

de seguridad proviene del filtrado de

paquetes. En el bastión, el único

sistema accesible desde el exterior, se

ejecuta el Proxy de aplicaciones y en el

Choke se filtran los paquetes

considerados peligrosos y sólo se

permiten un número reducido de

servicios.

El Routers exterior tiene la

misión de bloquear el tráfico

no deseado en ambos

sentidos: hacia la red interna

y hacia la red externa. El

Routers interior hace lo

mismo con la red interna y la

DMZ

Este tipo de Firewalls se basa

en el principio de que cada

paquete que circula por la red

es inspeccionado, así como

también su procedencia y

destino. Se aplican desde la

capa de Red hasta la de

Aplicaciones. Generalmente

son instalados cuando se

requiere seguridad sensible al

contexto y en aplicaciones

muy complejas.

Estos Firewalls son

aplicaciones disponibles para

usuarios finales que desean

conectarse a una red externa

insegura y mantener su

computadora a salvo de

ataques que puedan

ocasionarle desde un simple

"cuelgue" o infección de

virus hasta la pérdida de toda

su información almacenada.

¿Qué se debe proteger?. Se deberían proteger todos los

elementos de la red interna (hardware, software, datos,

etc.).

¿De quién protegerse?. De cualquier intento de acceso no

autorizado desde el exterior y contra ciertos ataques desde

el interior que puedan preverse y prevenir.

¿Cómo protegerse?. está orientada a establecer el nivel de

monitorización, control y respuesta deseado en la

organización.

¿Cuánto costará?. Estimando en función de lo que se desea

proteger se debe decidir cuanto es conveniente invertir.

Se permite cualquier servicio excepto aquellos

expresamente prohibidos. Se prohíbe cualquier servicio

excepto aquellos expresamente permitidos. La más

recomendada y utilizada aunque algunas veces suele

acarrear problemas por usuarios descontentos que no

pueden acceder a tal cual servicio.

Paranoica: se controla todo, no se permite nada.

Prudente: se controla y se conoce todo lo que

sucede.

Permisiva: se controla pero se permite demasiado.

Promiscua: no se controla (o se hace poco) y se

permite todo.

II. PUNTO IDEAL PARA

MONITOREAR LA

SEGURIDAD DE LA RED Y

GENERAR ALARMAS DE

INTENTOS DE ATAQUE

III. LLEVAN LAS

ESTADÍSTICAS

DEL ANCHO DE

BANDA

"CONSUMIDO"

POR EL TRAFICO

DE LA RED

SE PUEDEN USAR PARA DIVIDIR

PARTES DE UN SITIO QUE

TIENEN DISTINTAS

NECESIDADES DE SEGURIDAD O

PARA ALBERGAR LOS SERVICIOS

WWW Y FTP BRINDADOS.

OTROS

USOS

LA LIMITACIÓN MÁS GRANDE QUE TIENE UN FIREWALL

SENCILLAMENTE ES EL HUECO QUE NO SE TAPA Y QUE

COINCIDENTEMENTE O NO, ES DESCUBIERTO POR UN

INTRUSO.

LOS FIREWALLS NO SON SISTEMAS INTELIGENTES, ELLOS

ACTÚAN DE ACUERDO A PARÁMETROS INTRODUCIDOS POR

SU DISEÑADOR, POR ENDE SI UN PAQUETE DE

INFORMACIÓN NO SE ENCUENTRA DENTRO DE ESTOS

PARÁMETROS COMO UNA AMENAZA DE PELIGRO

SIMPLEMENTE LO DEJA PASAR.

OTRA LIMITACIÓN ES QUE EL FIREWALL "NO ES CONTRA

HUMANOS", ES DECIR QUE SI UN INTRUSO LOGRA ENTRAR

A LA ORGANIZACIÓN Y DESCUBRIR PASSWORDS O LOS

HUECOS DEL FIREWALL Y DIFUNDE ESTA INFORMACIÓN,

EL FIREWALL NO SE DARÁ CUENTA.

EL FIREWALL TAMPOCO PROVEE DE HERRAMIENTAS CONTRA LA

FILTRACIÓN DE SOFTWARE O ARCHIVOS INFECTADOS CON VIRUS,

AUNQUE ES POSIBLE DOTAR A LA MÁQUINA, DONDE SE ALOJA EL

FIREWALL, DE ANTIVIRUS APROPIADOS.

EL FIREWALL TRABAJA MEJOR SI SE COMPLEMENTA CON UNA

DEFENSA INTERNA. COMO MORALEJA: "CUANTO MAYOR SEA EL

TRÁFICO DE ENTRADA Y SALIDA PERMITIDO POR EL FIREWALL,

MENOR SERÁ LA RESISTENCIA CONTRA LOS PAQUETES EXTERNOS.

EL ÚNICO FIREWALL SEGURO (100%) ES AQUEL QUE SE MANTIENE

APAGADO"

FINALMENTE, UN FIREWALL ES

VULNERABLE, ÉL NO PROTEGE DE LA

GENTE QUE ESTÁ DENTRO DE LA RED

INTERNA.

Recommended

Comercio electronico
Documents