Upload
alisa-mayor
View
18
Download
0
Embed Size (px)
Citation preview
ESCUELA SUPERIOR ESCUELA SUPERIOR POLITECNICA DEL LITORALPOLITECNICA DEL LITORAL
Tópico:Tópico: Seguridad de la Información Seguridad de la InformaciónProfesora:Profesora: Ing. Karina Astudillo Ing. Karina AstudilloProyecto:Proyecto: Implementación de un website de comercio Implementación de un website de comercio electrónico, electrónico, utilizando una infraestructura de red utilizando una infraestructura de red segura. segura.
Integrantes:Integrantes: Mariuxi AbarcaMariuxi AbarcaDouglas BustosDouglas BustosFernando CostaFernando Costa
Facultad de Ingeniería Eléctrica y ComputaciónFacultad de Ingeniería Eléctrica y Computación
Contenido del ProyectoContenido del Proyecto
Antecedentes y JustificaciónAntecedentes y Justificación Plan de Marketing de un sitio de comercio para la Plan de Marketing de un sitio de comercio para la
venta de regalosventa de regalos Diseño e implementación de una infraestructura de Diseño e implementación de una infraestructura de
Red Segura Red Segura Diseño e Implementación de un sitio de Comercio Diseño e Implementación de un sitio de Comercio
ElectrónicoElectrónico Conclusiones y RecomendacionesConclusiones y Recomendaciones
IntroducciónIntroducción
El presente trabajo trata sobre el diseño y la El presente trabajo trata sobre el diseño y la implementación de un sitio de comercio implementación de un sitio de comercio electrónico utilizando una infraestructura propia electrónico utilizando una infraestructura propia de red segura con la finalidad de crear un de red segura con la finalidad de crear un negocio de venta de productos a través de la negocio de venta de productos a través de la Internet y enfocado hacia el mercado Internet y enfocado hacia el mercado Ecuatoriano.Ecuatoriano.
Nuestro proyecto esta dividido en 2 metas Nuestro proyecto esta dividido en 2 metas principales:principales:– El diseño y la construcción de una red segura El diseño y la construcción de una red segura
que almacene el sitio y de acceso a los que almacene el sitio y de acceso a los clientes.clientes.
– El desarrollo del sitio Web para la venta de El desarrollo del sitio Web para la venta de regalos en Internet.regalos en Internet.
Antecedentes y Justificación Antecedentes y Justificación del Proyectodel Proyecto
Antecedentes y JustificaciónAntecedentes y Justificación
La idea de crear un negocio virtual nace de la La idea de crear un negocio virtual nace de la iniciativa de emprender una actividad comercial iniciativa de emprender una actividad comercial utilizando la tecnología informática y aprovechar los utilizando la tecnología informática y aprovechar los nuevos métodos de hacer negocio, que la Internet nuevos métodos de hacer negocio, que la Internet ofrece hoy en día.ofrece hoy en día.
Antecedentes GeneralesAntecedentes Generales
La Internet ha cambiado la manera en La Internet ha cambiado la manera en que se desarrollan las actividades de que se desarrollan las actividades de la sociedad. la sociedad.
La tecnología ofrece nuevas La tecnología ofrece nuevas alternativas de negocio que permiten alternativas de negocio que permiten llegar a una audiencia masiva. llegar a una audiencia masiva.
Nuestro segmento de mercado es Nuestro segmento de mercado es mucho mayor ya que el tiempo y la mucho mayor ya que el tiempo y la distancia dejan de ser obstáculos.distancia dejan de ser obstáculos.
Definición del Problema y Definición del Problema y Objetivos del ProyectoObjetivos del Proyecto
Debemos vencer las barreras Debemos vencer las barreras sociales, culturales y económicas sociales, culturales y económicas que un negocio de comercio que un negocio de comercio electrónico enfrenta.electrónico enfrenta.
Es necesario proveer al usuario la Es necesario proveer al usuario la confianza, facilidades e incentivos confianza, facilidades e incentivos que busca al momento de que busca al momento de comprar.comprar.
Definición del Problema y Definición del Problema y Objetivos del ProyectoObjetivos del Proyecto
Nuestro objetivo es ser una Nuestro objetivo es ser una empresa líder en el mercado de empresa líder en el mercado de comercio electrónico ecuatoriano.comercio electrónico ecuatoriano.– Como lograrlo:Como lograrlo:
Utilizar un medio transaccional seguro.Utilizar un medio transaccional seguro. Utilizar una estrategia de mercadeo Utilizar una estrategia de mercadeo
efectiva.efectiva. Diseñar una interfaz amigable y Diseñar una interfaz amigable y
atractiva.atractiva.
Plan de Marketing Plan de Marketing
Plan de MarketingPlan de Marketing
El plan de marketing de nuestra El plan de marketing de nuestra empresa debe evaluar las empresa debe evaluar las condiciones actuales del mercado condiciones actuales del mercado de comercio electrónico y las de comercio electrónico y las estrategias que se aplicarán para estrategias que se aplicarán para posicionar el sitio en el segmento posicionar el sitio en el segmento de compradores en línea de compradores en línea ecuatorianos. ecuatorianos.
Nuestra EmpresaNuestra Empresa
El sitio El sitio www.regalos.com.ecwww.regalos.com.ec se especializará en comercializar artículos que los usuarios se especializará en comercializar artículos que los usuarios puedan regalar a sus seres queridos.puedan regalar a sus seres queridos.
El beneficio principal para el usuario será la facilidad de escoger un regalo entre todas las El beneficio principal para el usuario será la facilidad de escoger un regalo entre todas las sugerencias del sitio de acuerdo a la ocasión y presupuesto disponible. sugerencias del sitio de acuerdo a la ocasión y presupuesto disponible.
Descripción de los servicios del Descripción de los servicios del sitiositio
El cliente podrá encontrar regalos para las siguientes ocasiones:El cliente podrá encontrar regalos para las siguientes ocasiones: Matrimonios (Línea Blanca, Cristalería, Vajillas, Cubiertos, Artículos de Cocina)Matrimonios (Línea Blanca, Cristalería, Vajillas, Cubiertos, Artículos de Cocina) Aniversarios (Arreglos Florales, Chocolates, Peluches)Aniversarios (Arreglos Florales, Chocolates, Peluches) Día de la Madre (Agendas, Adornos variados, Lámparas, Perfumes )Día de la Madre (Agendas, Adornos variados, Lámparas, Perfumes ) Día del Padre (Libros, Habanos, Licores, Corbatas )Día del Padre (Libros, Habanos, Licores, Corbatas ) Cumpleaños (Reloj, CDs, DVDs, Artículos Electrónicos, Billeteras, Bolígrafos, Cinturones )Cumpleaños (Reloj, CDs, DVDs, Artículos Electrónicos, Billeteras, Bolígrafos, Cinturones ) Navidad, Primera Comunión, Quince años, Graduación y Bautizos Navidad, Primera Comunión, Quince años, Graduación y Bautizos
Servicios especiales del sitioServicios especiales del sitio
Recordatorio de cumpleaños, Recordatorio de cumpleaños, aniversarios y fechas especialesaniversarios y fechas especiales
Organización de regalos en conjuntoOrganización de regalos en conjunto Asistente para la selección de un regaloAsistente para la selección de un regalo Servicio de envoltura de regalosServicio de envoltura de regalos Beneficios para usuarios frecuentesBeneficios para usuarios frecuentes
Necesidad del MercadoNecesidad del Mercado
La idea de este sitio surgió de la necesidad de encontrar un regalo apropiado para La idea de este sitio surgió de la necesidad de encontrar un regalo apropiado para diferentes ocasiones. Muchas veces las personas se topan con el problema de tener diferentes ocasiones. Muchas veces las personas se topan con el problema de tener que regalar algo y se ven en la necesidad de salir a recorrer locales comerciales que regalar algo y se ven en la necesidad de salir a recorrer locales comerciales buscando un producto en especial que cumpla con el perfil de la ocasión y de la buscando un producto en especial que cumpla con el perfil de la ocasión y de la persona a quien se va a regalar. persona a quien se va a regalar.
Encuesta de MercadoEncuesta de Mercado
Si70%
No30%
Compraría regalos por Internet
Encuesta de MercadoEncuesta de Mercado
Precio40%
Seguridad del Sitio40%
Tiempo de Entrega
13%
Facilidad de Navegacion
10%
Variedad de articulos
20%
Otro0%
Aspectos más importantes al comprar
Encuesta de MercadoEncuesta de Mercado
Cumpleaños50%
Aniversario20%
Graduación0%
Navidad33%
Dia de la Madre/ Padre
27%
Otros0%
Tipos de regalos que compraría
Encuesta de MercadoEncuesta de Mercado
Mala experiencia anterior
3%
No confia en la seguridad
3%
Prefiere ir al centro comercial
7%
No tiene internet en casa
3%
Compra en efectivo
3%
Otro0%
Razones por las que no compraría regalos por Internet
Encuesta de MercadoEncuesta de Mercado
Facilidad de Busqueda
33%
Comodidad60%
Facilidad de Envio/ Entrega
37%
Mejores Precios17%
Asesoria al comprar
0%
Beneficio que lograría comprando regalos por Internet
Análisis de la CompetenciaAnálisis de la Competencia
Sitios Web similares:Sitios Web similares: BragançaBragança Gift CompanyGift Company Creditos EconomicosCreditos Economicos Los Colores de mi TierraLos Colores de mi Tierra
Los sitios analizados no cubren todo el mercado objetivo, pues nuestra presentación y clasificación es diferente al tratarse de artículos Los sitios analizados no cubren todo el mercado objetivo, pues nuestra presentación y clasificación es diferente al tratarse de artículos definidos por categorías de celebración en vez de clasificarlos por tipos de artículos como lo hace la competencia.definidos por categorías de celebración en vez de clasificarlos por tipos de artículos como lo hace la competencia.
Análisis de la CompetenciaAnálisis de la Competencia
Ventajas de la CompetenciaVentajas de la Competencia Braganca:Braganca: Reconocimiento de la marcaReconocimiento de la marca
Buena imagen corporativaBuena imagen corporativaTeléfono 1700Teléfono 1700
Gift CompanyGift Company Publicidad de Todo1PlazaPublicidad de Todo1Plaza
Creditos EconomicosCreditos Economicos Reconocimiento de la marcaReconocimiento de la marca Buena imagen corporativaBuena imagen corporativa
Infraestructura propia para entregasInfraestructura propia para entregasOfertas para clientes en líneaOfertas para clientes en línea
Los Colores de mi TierraLos Colores de mi Tierra Publicidad de Todo1PlazaPublicidad de Todo1Plaza
Análisis de la CompetenciaAnálisis de la Competencia
Desventajas de la CompetenciaDesventajas de la Competencia Braganca:Braganca: Precios elevadosPrecios elevados
Poca variedad de productosPoca variedad de productos
Gift CompanyGift Company Precios elevados Precios elevados Imagen corporativa no atractivaImagen corporativa no atractiva
Competencia en Todo1PlazaCompetencia en Todo1Plaza
Creditos EconomicosCreditos Economicos Poca variedad para nuestro Poca variedad para nuestro mercado mercado objetivoobjetivo
Los Colores de mi TierraLos Colores de mi Tierra Imagen corporativa no atractivaImagen corporativa no atractivaPoca variedad de Poca variedad de
productosproductos Nombre del sitioNombre del sitio
Segmento del MercadoSegmento del Mercado
Hombres y mujeres entre los 18 y los 50 años, Hombres y mujeres entre los 18 y los 50 años, que posean la capacidad económica para que posean la capacidad económica para adquirir los productos ofrecidos en el sitio y que adquirir los productos ofrecidos en el sitio y que sientan la necesidad de un lugar que les facilite sientan la necesidad de un lugar que les facilite la compra de regalos.la compra de regalos.
Estrategia de MercadoEstrategia de Mercado
Promoción por diversos medios:Promoción por diversos medios:Publicidad en correo directoPublicidad en correo directoBanners en sitios web locales de alto traficoBanners en sitios web locales de alto traficoFerias de computaciónFerias de computaciónEstaciones de radio Estaciones de radio
Diseño e Implementación de Diseño e Implementación de una Infraestructura de Red una Infraestructura de Red
SeguraSegura
Diseño de una infraestructura de Diseño de una infraestructura de red segurared segura
Una de las tareas principales en la construcción Una de las tareas principales en la construcción y puesta en producción de un negocio de y puesta en producción de un negocio de comercio electrónico es la seguridad del sitio comercio electrónico es la seguridad del sitio web y de los datos que este va a manejar. web y de los datos que este va a manejar.
Nuestro diseño de la red, debe considerar todos Nuestro diseño de la red, debe considerar todos los riesgos de seguridad que pueden existir.los riesgos de seguridad que pueden existir.
Selección de Mecanismos de Selección de Mecanismos de SeguridadSeguridad
Los mecanismos de seguridad que se utilizaran Los mecanismos de seguridad que se utilizaran en el diseño y la implementación de la red en el diseño y la implementación de la red segura son:segura son:
FirewallsFirewalls Sistema de Detección de IntrusosSistema de Detección de Intrusos Servidor Web SeguroServidor Web Seguro Sistemas Antivirus Sistemas Antivirus Servicios de Directorio de SeguridadServicios de Directorio de Seguridad
Selección de Herramientas de Selección de Herramientas de SeguridadSeguridad
Mecanismo de Seguridad Producto Seleccionado
Firewalls Microsoft ISA Server
Detección de Intrusos CA E-Trust
Antivirus de Host Symantec Antivirus Corporate
Antivirus de SMTP Sophos MailMonitor
Servicio de Directorio Microsoft Active Directory
Implementación de la Red SeguraImplementación de la Red Segura
La implementación de la red segura comprende la construcción de todos La implementación de la red segura comprende la construcción de todos los servidores de la red y sus componentes de seguridad.los servidores de la red y sus componentes de seguridad.
Instalación de servidores Windows 2000 Server y Windows Server2003Instalación de servidores Windows 2000 Server y Windows Server2003 Implementación de la infraestructura de dominio Active DirectoryImplementación de la infraestructura de dominio Active Directory Implementación de políticas del dominioImplementación de políticas del dominio Instalación de firewalls interno y externoInstalación de firewalls interno y externo Configuración de firewall internoConfiguración de firewall interno Configuración de firewall externoConfiguración de firewall externo Implementación del servicio de detección de intrusosImplementación del servicio de detección de intrusos Implementación de servicio de antivirus corporativoImplementación de servicio de antivirus corporativo Implementación de antivirus para correo electrónicoImplementación de antivirus para correo electrónico Instalación de servidor de base de datosInstalación de servidor de base de datos Implementación de seguridades de base de datosImplementación de seguridades de base de datos Implementación de servidor Web y seguridadesImplementación de servidor Web y seguridades
Diagrama de la red segura diseñadaDiagrama de la red segura diseñada
Internet
Sistema deDetección de Intrusos
Servidor de Paginas Web
Servicios deDirectorio yPolíticas de
Usuario
Firewall Interno
Firewall Externo
Usuarios Internos
RedDesmilitarizada
Base de Datos
Red deBase de Datos
Red deAdministración
Servidor deCorreo Electronico yAntivirus para Correo
Sistema deDetección de Intrusos
Diagrama de la red idealDiagrama de la red ideal
ISP 1 ISP 2
Windows 2000 ServereTrust
Intrusion Detection
Windows Server 2003Internet Information Server 6.0
Windows 2000 ServerControladores de Active Directory
Symantec Antivirus Corporate
Windows 2000 ServerArreglo ISA Server
Windows 2000 ServerArreglo ISA Server
Usuarios Internos
RedDesmilitarizada
Cluster de Base de DatosWindows 2000 Advanced Server
SQL Server 2000 Enterprise
Red deBase de Datos
Red deAdministración
Servidor deCorreo Electronico yAntivirus para Correo
Diagrama de la red implementada en el Diagrama de la red implementada en el proyectoproyecto
Internet
Windows 2000 ServereTrust
Intrusion Detection
Windows Server 2003Internet Information Server 6.0
Windows 2000 ServerActive Directory
Symantec Antivirus Corporate+
(Maquina Virtual)Linux Red Hat 9 SendMail
Sophos Mail-Monitor
Windows 2000 ServerISA Server
Windows 2000 ServerISA Server
Usuarios Internos
RedDesmilitarizada
Servidor de Base de DatosWindows 2000 Server
SQL Server 2000
Red deBase de Datos
Red deAdministración
Microsoft ISA ServerMicrosoft ISA Server
Microsoft Internet Security and Acceleration Microsoft Internet Security and Acceleration Server fue seleccionado como firewall de la red Server fue seleccionado como firewall de la red por la seguridad y funcionalidad que ofrece.por la seguridad y funcionalidad que ofrece.
ISA Server es una solución de firewall robusta ISA Server es una solución de firewall robusta certificado por ICSA Labs, que implementa el certificado por ICSA Labs, que implementa el modelo de Filtrado de Paquetes (Stateful modelo de Filtrado de Paquetes (Stateful Inspection) y el de un Application Level Inspection) y el de un Application Level Gateway.Gateway.
Características de Microsoft ISA Características de Microsoft ISA ServerServer
Bloqueo de todo trafico por defaultBloqueo de todo trafico por default Cumple con el estandar de los laboratorios ICSACumple con el estandar de los laboratorios ICSA Application Level GatewayApplication Level Gateway Packet Filtering – Stateful InspectionPacket Filtering – Stateful Inspection Proxy Server y cache de paginasProxy Server y cache de paginas Políticas basadas en IP, Usuario, Calendario y ContenidoPolíticas basadas en IP, Usuario, Calendario y Contenido Soporte para VPNsSoporte para VPNs Generador de Logs y Reportes especializadosGenerador de Logs y Reportes especializados
Instalación de firewalls externo e internoInstalación de firewalls externo e interno
La implementación del firewall Microsoft ISA Server requiere la instalación La implementación del firewall Microsoft ISA Server requiere la instalación previa del sistema operativo Windows 2000 Server y la configuración previa del sistema operativo Windows 2000 Server y la configuración adecuada de las tarjetas de red del firewalladecuada de las tarjetas de red del firewall
La instalación de ISA Server deberá realizarse utilizando la versión La instalación de ISA Server deberá realizarse utilizando la versión Enterprise del producto por su capacidad de crear arreglos de firewalls Enterprise del producto por su capacidad de crear arreglos de firewalls redundantesredundantes
Durante la instalación de ISA Server se deberá especificar el rango de IPs Durante la instalación de ISA Server se deberá especificar el rango de IPs que el firewall considerara como su red interna (segura)que el firewall considerara como su red interna (segura)
El modo de instalación de Microsoft ISA Server dependerá de los El modo de instalación de Microsoft ISA Server dependerá de los componentes que se vayan a utilizar en el firewall. El firewall externo componentes que se vayan a utilizar en el firewall. El firewall externo deberá ser instalado en modo integrado ya que además de realizar las deberá ser instalado en modo integrado ya que además de realizar las funciones de firewall, proveerá servicios de cache de paginas. El firewall funciones de firewall, proveerá servicios de cache de paginas. El firewall interno será instalado en modo firewall únicamente.interno será instalado en modo firewall únicamente.
Definición de Políticas de SeguridadDefinición de Políticas de Seguridad
Políticas de Trafico - Firewall Externo (Protocolos Permitidos)Políticas de Trafico - Firewall Externo (Protocolos Permitidos) Red Externa a la Red Desmilitarizada (Inbound)Red Externa a la Red Desmilitarizada (Inbound)
HTTP (TCP 80), HTTP (TCP 80), hacia la IP del servidor webhacia la IP del servidor web HTTPS (TCP 443),HTTPS (TCP 443), hacia la IP del servidor webhacia la IP del servidor web
Red Externa a la Red Interna (Inbound)Red Externa a la Red Interna (Inbound) SMTP (TCP 25),SMTP (TCP 25), hacia la IP del servidor SENDMAILhacia la IP del servidor SENDMAIL
Red Desmilitarizada a la Red Interna (Inbound)Red Desmilitarizada a la Red Interna (Inbound) SQL (TCP 1433),SQL (TCP 1433), desde el servidor Web a la IP NAT de la basedesde el servidor Web a la IP NAT de la base SMTP (TCP 25),SMTP (TCP 25), desde el servidor Web a la IP del SENDMAILdesde el servidor Web a la IP del SENDMAIL
Red Interna a la Red Externa (Outbound)Red Interna a la Red Externa (Outbound) HTTP/HTTPS (TCP 80 / 443),HTTP/HTTPS (TCP 80 / 443), para estaciones de trabajo y servidor antiviruspara estaciones de trabajo y servidor antivirus FTP (TCP 21),FTP (TCP 21), para administradores y servidor antiviruspara administradores y servidor antivirus SMTP (TCP 25),SMTP (TCP 25), para servidor SENDMAILpara servidor SENDMAIL POP3 (TCP 110),POP3 (TCP 110), para servidor de correo y usuarios autorizadospara servidor de correo y usuarios autorizados Trafico DNSTrafico DNS solo para servidor DNS internosolo para servidor DNS interno
Red Interna a la Red Desmilitarizada (Outbound)Red Interna a la Red Desmilitarizada (Outbound) HTTP/HTTPS (TCP 80 / 443),HTTP/HTTPS (TCP 80 / 443), para todos, hacia la IP del servidor Webpara todos, hacia la IP del servidor Web
Definición de Políticas de SeguridadDefinición de Políticas de Seguridad
Políticas de Trafico - Firewall Interno (Protocolos Permitidos)Políticas de Trafico - Firewall Interno (Protocolos Permitidos)
Para la publicación de la base de datos hacia la red interna y el Para la publicación de la base de datos hacia la red interna y el servidor Web, se configurara el acceso utilizando NAT hacia la IP servidor Web, se configurara el acceso utilizando NAT hacia la IP interna de la base de datos.interna de la base de datos.
– Red Externa a la Red Interna (Inbound)Red Externa a la Red Interna (Inbound) SQL Server (TCP 1433), SQL Server (TCP 1433), desde el servidor desde el servidor
webweb SQL Server (TCP 1433),SQL Server (TCP 1433), desde la estación del desde la estación del
administradoradministrador
Implementación de Firewall ExternoImplementación de Firewall Externo
Reglas de Sitios y ContenidoReglas de Sitios y Contenido Se definieron las políticas de acceso a la Internet para los usuarios internos. Se definieron las políticas de acceso a la Internet para los usuarios internos.
La política permitirá el acceso a paginas Web en la internet para todas las La política permitirá el acceso a paginas Web en la internet para todas las estaciones.estaciones.
Se creo una política que permite el acceso desde la red interna al sitio de e-Se creo una política que permite el acceso desde la red interna al sitio de e-commerce únicamente para usuarios autenticados en el dominio.commerce únicamente para usuarios autenticados en el dominio.
Reglas de ProtocoloReglas de Protocolo Se creo una regla que permite el trafico de salida para protocolo SMTP Se creo una regla que permite el trafico de salida para protocolo SMTP
desde el servidor de correo.desde el servidor de correo. El protocolo FTP se habilito únicamente para estaciones de administradores El protocolo FTP se habilito únicamente para estaciones de administradores
y para el servidor Antivirus.y para el servidor Antivirus. El protocolo DNS se habilito únicamente para el servidor DNS interno de tal El protocolo DNS se habilito únicamente para el servidor DNS interno de tal
manera que este pueda realizar resoluciones de nombres en servidores manera que este pueda realizar resoluciones de nombres en servidores DNS raíz.DNS raíz.
Se habilitaron los protocolos HTTP y HTTPS para usuarios y administradores.Se habilitaron los protocolos HTTP y HTTPS para usuarios y administradores.
Implementación de Firewall ExternoImplementación de Firewall Externo
Filtrado de Paquetes IPFiltrado de Paquetes IP Se utilizo una regla de filtrado para bloquear protocolo ICMP y UDP hacia el Se utilizo una regla de filtrado para bloquear protocolo ICMP y UDP hacia el
servidor Web.servidor Web. Se creo una política que permite el paso de paquetes HTTP y HTTPS hacia el Se creo una política que permite el paso de paquetes HTTP y HTTPS hacia el
servidor web.servidor web. Una regla de filtrado de paquetes se definió para permitir la comunicación Una regla de filtrado de paquetes se definió para permitir la comunicación
por protocolo SMTP desde la Internet hacia el servidor de correo.por protocolo SMTP desde la Internet hacia el servidor de correo.
Reglas de Publicación WebReglas de Publicación Web Este tipo de reglas permite dar acceso a servidores Web ubicados en la red Este tipo de reglas permite dar acceso a servidores Web ubicados en la red
Interna. No se han utilizado estas reglas ya que la ubicación del servidor Interna. No se han utilizado estas reglas ya que la ubicación del servidor Web en la DMZ provee mayor seguridad.Web en la DMZ provee mayor seguridad.
Implementación de Firewall ExternoImplementación de Firewall Externo
Reglas de Publicación de ServidoresReglas de Publicación de Servidores Estas reglas permiten dar acceso a otros servicios ubicados en la red Estas reglas permiten dar acceso a otros servicios ubicados en la red
Interna desde la red DMZ y la red publica.Interna desde la red DMZ y la red publica. Se definieron dos reglas que permiten que el servidor web se comunique Se definieron dos reglas que permiten que el servidor web se comunique
con el servidor mail vía SMTP, y con la base de datos SQL Server.con el servidor mail vía SMTP, y con la base de datos SQL Server.
Elementos de PolíticasElementos de Políticas Para facilitar la administración de políticas en el firewall externo se han Para facilitar la administración de políticas en el firewall externo se han
definido elementos que se utilizaran como un Alias de los servidores y definido elementos que se utilizaran como un Alias de los servidores y usuarios en cada una de las reglas.usuarios en cada una de las reglas.
Los elementos definidos incluyen “Administradores”, “Usuarios”, “Servidor Los elementos definidos incluyen “Administradores”, “Usuarios”, “Servidor de Base de Datos”, “Servidor Web”, “Servidor Antivirus”, “Servidor DNS” y de Base de Datos”, “Servidor Web”, “Servidor Antivirus”, “Servidor DNS” y “Servidor SMTP”.“Servidor SMTP”.
Implementación de Firewall ExternoImplementación de Firewall Externo
Detección de Intrusos de ISA ServerDetección de Intrusos de ISA Server Como medida de seguridad se habilitaron las características de detección Como medida de seguridad se habilitaron las características de detección
de intrusos del firewall de tal manera que este examine el trafico a nivel de de intrusos del firewall de tal manera que este examine el trafico a nivel de IP y de aplicación.IP y de aplicación.
ISA Server permite detectar ataques conocidos sobre protocolos habilitados ISA Server permite detectar ataques conocidos sobre protocolos habilitados en la red y reaccionar ante un posible ataque.en la red y reaccionar ante un posible ataque.
Algunos de los tipos de ataques detectados por ISA Server son:Algunos de los tipos de ataques detectados por ISA Server son:– Land AtackLand Atack– Ping de la muertePing de la muerte– Escaneo de puertosEscaneo de puertos– IP half scanIP half scan– Bomba UDPBomba UDP– Ataques sobre protoclo DNSAtaques sobre protoclo DNS– Ataques sobre protocolo SMTPAtaques sobre protocolo SMTP– Ataques sobre protocolo HTTPAtaques sobre protocolo HTTP
Implementación de Firewall InternoImplementación de Firewall Interno
La configuración del firewall interno se realizara creando las La configuración del firewall interno se realizara creando las reglas de acceso definidas durante el diseño de las políticas de reglas de acceso definidas durante el diseño de las políticas de trafico.trafico.
La publicación de la base de datos se realiza utilizando La publicación de la base de datos se realiza utilizando conversión de IPs (NAT) desde la IP externa del firewall hacia la IP conversión de IPs (NAT) desde la IP externa del firewall hacia la IP interna del servidor de Base de Datosinterna del servidor de Base de Datos
La conversión NAT para la base se habilitara únicamente en el La conversión NAT para la base se habilitara únicamente en el puerto 1433 de SQL Server.puerto 1433 de SQL Server.
El acceso outbound para la base de datos no estará restringidoEl acceso outbound para la base de datos no estará restringido
Computer AssociatesComputer AssociatesE-Trust Intrusion DetectionE-Trust Intrusion Detection
El software de detección de intrusos E-Trust es El software de detección de intrusos E-Trust es una completa solución de seguridad que integra una completa solución de seguridad que integra tres campos principales de seguridad: tres campos principales de seguridad:
Sistema comprensivo de la detección de la intrusión Sistema comprensivo de la detección de la intrusión de la redde la red
Monitoreo de sesiones en tiempo realMonitoreo de sesiones en tiempo real Bloqueo de contenido de Internet Bloqueo de contenido de Internet
Características de E-TrustCaracterísticas de E-Trust
Bloqueo de tráfico por servicio tales como: www, smtp, Bloqueo de tráfico por servicio tales como: www, smtp, pop3, etcpop3, etc
Exploración de patrones de palabra permiten detectar Exploración de patrones de palabra permiten detectar violaciones de políticasviolaciones de políticas
Detección de ataques a la red como: abuso de ping, Detección de ataques a la red como: abuso de ping, escaneo de puerto TCPescaneo de puerto TCP
Generación de alarmas via email, pager, mensajes NT, Generación de alarmas via email, pager, mensajes NT, SNMP trapsSNMP traps
Generación de estadísticas de uso de la redGeneración de estadísticas de uso de la red Control de contenidoControl de contenido Detección de actividades sospechosas en la redDetección de actividades sospechosas en la red Bloqueos de trafico como respuesta a una detecciónBloqueos de trafico como respuesta a una detección
Definición de Políticas de SeguridadDefinición de Políticas de Seguridad
Políticas de Detección de IntrusosPolíticas de Detección de IntrusosLas políticas definidas para el sistemas de detección de intrusos son:Las políticas definidas para el sistemas de detección de intrusos son:
Ping FloodingPing Flooding Ping AbusePing Abuse SYN AttackSYN Attack TCP Port ScanTCP Port Scan UDP Port ScanUDP Port Scan Sweep attackSweep attack Distributed Denial of Service AttackDistributed Denial of Service Attack Stream-like DoS AttackStream-like DoS Attack IP SpoofingIP Spoofing MAC SpoofingMAC Spoofing
Land AttackLand Attack Null ScanNull Scan Stealth FIN scanStealth FIN scan Xmas scanXmas scan TCP Scan (OS fingerprint)TCP Scan (OS fingerprint) QUESO scanQUESO scan TCP packets overlappingTCP packets overlapping UDP FloodingUDP Flooding WinNuke attackWinNuke attack Teardrop attackTeardrop attack Smurf attackSmurf attack
Implementación del servicio de Implementación del servicio de detección de intrusosdetección de intrusos
El software de detección de intrusos utilizado es CA eTrust El software de detección de intrusos utilizado es CA eTrust Intrusion Detection sobre un servidor Windows 2000.Intrusion Detection sobre un servidor Windows 2000.
EL servidor eTrust ha sido conectado a la red interna para EL servidor eTrust ha sido conectado a la red interna para analizar el trafico que logra pasar por el firewall en base a las analizar el trafico que logra pasar por el firewall en base a las políticas y el trafico originado en las estaciones de usuarios.políticas y el trafico originado en las estaciones de usuarios.
CA eTrust detectara cualquier comportamiento sospechoso y CA eTrust detectara cualquier comportamiento sospechoso y llevara una estadística de los sitios web que son accesados por llevara una estadística de los sitios web que son accesados por los usuarios.los usuarios.
Algunos de los tipos de ataque que eTrust podrá detectar son:Algunos de los tipos de ataque que eTrust podrá detectar son:
– Ping floodingPing flooding– Ping AbusePing Abuse– SYN AttackSYN Attack– TCP Port ScanTCP Port Scan– Distributed Denial Of service AttackDistributed Denial Of service Attack
Symantec Antivirus Corporate Symantec Antivirus Corporate EditionEdition
Symantec Antivirus es la solución de protección Symantec Antivirus es la solución de protección contra ataques de virus seleccionada para las contra ataques de virus seleccionada para las computadoras de la red.computadoras de la red.
La edición corporativa del antivirus Symantec La edición corporativa del antivirus Symantec nos permite proteger todas las estaciones y nos permite proteger todas las estaciones y servidores de manera centralizada y mantener servidores de manera centralizada y mantener una política adecuada de actualizaciones y una política adecuada de actualizaciones y alarmas.alarmas.
Características de Symantec Características de Symantec AntivirusAntivirus
Solución de antivirus robusta, cuenta con el respaldo de Solución de antivirus robusta, cuenta con el respaldo de las empresas mas grandes dedicadas la seguridad de la las empresas mas grandes dedicadas la seguridad de la informacióninformación
Buen tiempo de respuesta contra nuevos virusBuen tiempo de respuesta contra nuevos virus Respaldo de Symantec Security Response, una de las Respaldo de Symantec Security Response, una de las
instituciones de investigación y soporte de seguridad mas instituciones de investigación y soporte de seguridad mas prestigiosas en Internetprestigiosas en Internet
Solución escalableSolución escalable MultiplataformaMultiplataforma Administración centralizadaAdministración centralizada
Definición de Políticas de SeguridadDefinición de Políticas de Seguridad
Políticas del servicio de antivirusPolíticas del servicio de antivirus
Actualización diaria de definiciones de nuevos virus y del Actualización diaria de definiciones de nuevos virus y del motor antivirusmotor antivirus
Configuración del antivirus deshabilitada desde en las Configuración del antivirus deshabilitada desde en las estaciones.estaciones.
Protección en tiempo real del antivirus habilitada para todas Protección en tiempo real del antivirus habilitada para todas las estaciones centralizadamente desde la consola de las estaciones centralizadamente desde la consola de SymantecSymantec
Archivos infectados no desinfectados, seran colocados en la Archivos infectados no desinfectados, seran colocados en la consola de cuarentena central y luego limpiados o consola de cuarentena central y luego limpiados o eliminadoseliminados
Implementación del servicio de Implementación del servicio de antivirus corporativoantivirus corporativo
El servidor de antivirus symantec fue instalado sobre Windows El servidor de antivirus symantec fue instalado sobre Windows 2000 Server. Los servicios que se ejecutan sobre este servidor 2000 Server. Los servicios que se ejecutan sobre este servidor son la Consola de Administracion de Symantec, servicio de son la Consola de Administracion de Symantec, servicio de actualizaciones “LiveUpdate” y la Consola de Alarmas.actualizaciones “LiveUpdate” y la Consola de Alarmas.
La instalación del antivirus para estaciones y otros servidores de La instalación del antivirus para estaciones y otros servidores de la red se realiza remotamente desde el servidor principal del la red se realiza remotamente desde el servidor principal del antivirus utilizando los servicios de llamada a procedimiento antivirus utilizando los servicios de llamada a procedimiento remoto (RPC) de Windows.remoto (RPC) de Windows.
El servidor de antivirus realizara descargas periódicas de las El servidor de antivirus realizara descargas periódicas de las nuevas definiciones de virus liberadas por el fabricante y nuevas definiciones de virus liberadas por el fabricante y procederá a actualizar al resto de computadoras de la red.procederá a actualizar al resto de computadoras de la red.
Sophos Antivirus Mail MonitorSophos Antivirus Mail Monitor
Sophos Antivirus Mail Monitor es una solución Sophos Antivirus Mail Monitor es una solución de protección contra virus que analiza todo el de protección contra virus que analiza todo el correo electrónico entrante y saliente, correo electrónico entrante y saliente, previniendo una infección antes de que el virus previniendo una infección antes de que el virus llegue al servidor de correo y a las estaciones.llegue al servidor de correo y a las estaciones.
Sophos Mail Monitor se instala sobre un servidor Sophos Mail Monitor se instala sobre un servidor Linux y se coloca delante del servicio SMTP, Linux y se coloca delante del servicio SMTP, escaneando los mensajes antes de que llegue a escaneando los mensajes antes de que llegue a este.este.
Implementación del servicio de Implementación del servicio de antivirus para correo electrónicoantivirus para correo electrónico
El servicio de antivirus para correo electrónico utilizado es el El servicio de antivirus para correo electrónico utilizado es el Sophos Mailmonitor.Sophos Mailmonitor.
La instalación de Sophos Mailmonitor se realizo sobre un La instalación de Sophos Mailmonitor se realizo sobre un servidor Linux RedHat 9.servidor Linux RedHat 9.
Sophos Mailmonitor esta configurado para recibir los mensajes Sophos Mailmonitor esta configurado para recibir los mensajes de correo electrónico a través del puerto 25 (SMTP) antes de que de correo electrónico a través del puerto 25 (SMTP) antes de que lleguen al servidor de correo electrónico, es decir que todos los lleguen al servidor de correo electrónico, es decir que todos los mensajes deben pasar por este servicio antes de ser entregados mensajes deben pasar por este servicio antes de ser entregados a sus destinatarios.a sus destinatarios.
Microsoft Active DirectoryMicrosoft Active Directory
El directorio activo de Microsoft incluido en los El directorio activo de Microsoft incluido en los productos Windows 2000 y Windows 2003 es la productos Windows 2000 y Windows 2003 es la solución de directorio de seguridad solución de directorio de seguridad seleccionada para la red.seleccionada para la red.
Microsoft Active Directory permite mantener un Microsoft Active Directory permite mantener un ambiente de red seguro implementando ambiente de red seguro implementando políticas de acceso y niveles de privilegios, políticas de acceso y niveles de privilegios, centraliza las información de cuentas de usuario centraliza las información de cuentas de usuario y simplifica la administración de usuarios y y simplifica la administración de usuarios y estaciones de trabajo. estaciones de trabajo.
Características de Active DirectoryCaracterísticas de Active Directory
Solución de directorio de seguridad muy flexibleSolución de directorio de seguridad muy flexible Soporte a políticas de seguridad y niveles de acceso para Soporte a políticas de seguridad y niveles de acceso para
usuarios y gruposusuarios y grupos Administración centralizada de usuarios y estacionesAdministración centralizada de usuarios y estaciones Compatible con estándar de directorios LDAP v3.Compatible con estándar de directorios LDAP v3. Solución altamente escalableSolución altamente escalable
Definición de Políticas de SeguridadDefinición de Políticas de Seguridad
Políticas de acceso a usuarios internosPolíticas de acceso a usuarios internos– Algunas de las políticas del dominio que se implementaran para restringir los Algunas de las políticas del dominio que se implementaran para restringir los
derechos de usuario son:derechos de usuario son:
Acceso negado para usuarios no autenticados en el dominioAcceso negado para usuarios no autenticados en el dominio Auditorias habilitadas para los eventos de logonAuditorias habilitadas para los eventos de logon Auditorias habilitadas para los cambios en cuentas de usuarioAuditorias habilitadas para los cambios en cuentas de usuario Auditorias habilitadas para los cambios en políticas de dominioAuditorias habilitadas para los cambios en políticas de dominio Bloqueo de cuentas después de 5 intentos de logon fallidosBloqueo de cuentas después de 5 intentos de logon fallidos Tiempo de expiración de passwords del dominio 42 díasTiempo de expiración de passwords del dominio 42 días Longitud mínima de passwords de dominioLongitud mínima de passwords de dominio Requerimientos de passwords complejos complicadosRequerimientos de passwords complejos complicados
Implementación de seguridades de Implementación de seguridades de Base de DatosBase de Datos
Para la implementación de las seguridades de la base de datos se Para la implementación de las seguridades de la base de datos se han tomado en cuenta las siguientes consideraciones:han tomado en cuenta las siguientes consideraciones:
– Se definió una clave del administrador (sa) siguiendo las políticas de Se definió una clave del administrador (sa) siguiendo las políticas de passwords definidaspasswords definidas
– El servidor de base de datos esta protegido por un firewall interno que El servidor de base de datos esta protegido por un firewall interno que permite la conexión del web server y de los administradores. permite la conexión del web server y de los administradores.
– El acceso del web server a la base de datos es autenticado utilizando El acceso del web server a la base de datos es autenticado utilizando un usuario definido para este propósitoun usuario definido para este propósito
– El software de base de datos se ha actualizado utilizando los paquetes El software de base de datos se ha actualizado utilizando los paquetes de seguridad liberados por Microsoftde seguridad liberados por Microsoft
– El diseño ideal de la infraestructura de red considera la implementación El diseño ideal de la infraestructura de red considera la implementación de un cluster de base de datos utilizando SQL Server Enterprise Edition. de un cluster de base de datos utilizando SQL Server Enterprise Edition.
Definición de Políticas de SeguridadDefinición de Políticas de Seguridad
Políticas de seguridad de Base de DatosPolíticas de seguridad de Base de Datos
El usuario definido en SQL Server para el acceso de las El usuario definido en SQL Server para el acceso de las paginas Web tendrá únicamente permisos de ejecución a los paginas Web tendrá únicamente permisos de ejecución a los stored procedures del aplicativostored procedures del aplicativo
Ningún usuario tendrá permisos directos sobre las tablas de Ningún usuario tendrá permisos directos sobre las tablas de la base de datosla base de datos
Se realizaran respaldos diarios, semanales y mensuales de Se realizaran respaldos diarios, semanales y mensuales de la información de la base de datosla información de la base de datos
Todos los parches de seguridad deberán estar instalados en Todos los parches de seguridad deberán estar instalados en el sistema operativo y en SQL Server para el servidor de el sistema operativo y en SQL Server para el servidor de base de datosbase de datos
Implementación de servidor Web y Implementación de servidor Web y sus seguridadessus seguridades
Para la implementación de las seguridades del servidor Web se han Para la implementación de las seguridades del servidor Web se han tomado en cuenta las siguientes consideraciones:tomado en cuenta las siguientes consideraciones:
– El servidor web se actualizo con los últimos paquetes de seguridad El servidor web se actualizo con los últimos paquetes de seguridad liberados por Microsoft para Windows 2003 e Internet Information Server liberados por Microsoft para Windows 2003 e Internet Information Server 6.06.0
– El acceso a las paginas web durante la compra se realizara utilizando el El acceso a las paginas web durante la compra se realizara utilizando el protocolo HTTPS, para esto se instalo un certificado digital sobre el protocolo HTTPS, para esto se instalo un certificado digital sobre el servidor Web. servidor Web.
– Se configuraron los permisos adecuados sobre las paginas del sitio para Se configuraron los permisos adecuados sobre las paginas del sitio para permitir el acceso de usuarios (permisos de lectura) y el acceso a los permitir el acceso de usuarios (permisos de lectura) y el acceso a los scripts almacenados en paginas aspx del sitio.scripts almacenados en paginas aspx del sitio.
– La pagina de configuración del acceso a la base (web.config) estará La pagina de configuración del acceso a la base (web.config) estará restringida para todos los usuarios. restringida para todos los usuarios.
– Se instalo la ultima actualización de Microsoft .NET Framework ya que Se instalo la ultima actualización de Microsoft .NET Framework ya que esta corrige una falla en la seguridad del producto.esta corrige una falla en la seguridad del producto.
Definición de Políticas de SeguridadDefinición de Políticas de Seguridad
Políticas de seguridad del servidor WebPolíticas de seguridad del servidor Web
El servidor web Internet Information Server 6.0 sera asegurado El servidor web Internet Information Server 6.0 sera asegurado utilizando la herramienta IISLockdown la cual eliminara permisos utilizando la herramienta IISLockdown la cual eliminara permisos innecesarios a los archivos del servidor web y a los scripts del innecesarios a los archivos del servidor web y a los scripts del servidorservidor
Se utilizara también la herramienta URLScan 2.5 para establecer Se utilizara también la herramienta URLScan 2.5 para establecer restricciones en los acceso al servicio web como por ejemplo:restricciones en los acceso al servicio web como por ejemplo: Limite de tamaño en los requerimientos al servidor en bytes (POST)Limite de tamaño en los requerimientos al servidor en bytes (POST) Longitud máxima de URLs enviados al servidorLongitud máxima de URLs enviados al servidor DenyExtension previene la ejecución de código CGI e ISAPIDenyExtension previene la ejecución de código CGI e ISAPI DenyURLSequences detecta secuencias de URLs utilizados para DenyURLSequences detecta secuencias de URLs utilizados para
realizar ataques a través de los URLs enviados al servidorrealizar ataques a través de los URLs enviados al servidor
Diseño e Implementación de Diseño e Implementación de un Sitio de Comercio un Sitio de Comercio
ElectrónicoElectrónico
Aplicativo DesarrolladoAplicativo Desarrollado
ProcesoProceso
Definición de los objetivos del Definición de los objetivos del sitiositio
Definición de requerimientosDefinición de requerimientos Especificación de los serviciosEspecificación de los servicios Definición de la estrategia para la Definición de la estrategia para la
creación del sitiocreación del sitio
Objetivos del sitioObjetivos del sitio
Al igual que en un negocio tradicional los Al igual que en un negocio tradicional los usuarios deben poder entrar a nuestra tienda usuarios deben poder entrar a nuestra tienda virtual, deben poder recorrer la tienda, virtual, deben poder recorrer la tienda, seleccionar uno o varios productos y finalmente seleccionar uno o varios productos y finalmente pagar su compra.pagar su compra.
Definición de los RequerimientosDefinición de los Requerimientos
Para la definición de los requerimientos nos Para la definición de los requerimientos nos hemos planteado las siguientes preguntas: hemos planteado las siguientes preguntas: – ¿Qué es lo que se quiere lograr con el sitio?¿Qué es lo que se quiere lograr con el sitio?– ¿Cuáles son los servicios que el sitio debe brindar?¿Cuáles son los servicios que el sitio debe brindar?– ¿Qué seguridad debe ofrecer el sitio durante una ¿Qué seguridad debe ofrecer el sitio durante una
compra?compra?– ¿Cómo debe ser la interfaz de tal manera que impulse ¿Cómo debe ser la interfaz de tal manera que impulse
al usuario a comprar?al usuario a comprar?
Servicios brindados en el sitioServicios brindados en el sitio
Creación y mantenimiento seguro de usuariosCreación y mantenimiento seguro de usuarios Búsqueda de Ítems por categoríasBúsqueda de Ítems por categorías Asistente avanzado de búsqueda de regalos.Asistente avanzado de búsqueda de regalos. Organización de regalos en grupos orientada a Organización de regalos en grupos orientada a
regalos para matrimonios.regalos para matrimonios. Un sistema de recordatorio de fechas Un sistema de recordatorio de fechas
importantes.importantes. Herramienta de Carrito de ComprasHerramienta de Carrito de Compras Formulario de Pago SeguroFormulario de Pago Seguro
Estrategia para la creación del sitioEstrategia para la creación del sitio
Como metodología de desarrollo hemos utilizado algunas Como metodología de desarrollo hemos utilizado algunas de las recomendaciones definidas en el estándar UML de las recomendaciones definidas en el estándar UML (Unified Modeling Language) para el desarrollo de (Unified Modeling Language) para el desarrollo de aplicaciones orientado a objetos.aplicaciones orientado a objetos.
– Los pasos de la estrategia utilizada son 4:Los pasos de la estrategia utilizada son 4: Análisis de los Requerimientos.Análisis de los Requerimientos. Diseño General del Sistema.Diseño General del Sistema. Diseño Detallado.Diseño Detallado. ImplementaciónImplementación
Todos estos pasos basado en Patrones y Mejores Prácticas de la Todos estos pasos basado en Patrones y Mejores Prácticas de la industriaindustria
Implementación Implementación SeguraSegura
Resumen de la Resumen de la Seguridad Seguridad Seguridad Física o de infraestructuraSeguridad Física o de infraestructura
– Explicada por los compañeros.Explicada por los compañeros.
Seguridad de Disponibilidad de la Seguridad de Disponibilidad de la aplicación, plataforma de desarrollo.aplicación, plataforma de desarrollo.
Seguridad de la Aplicación anti-delito ó Seguridad de la Aplicación anti-delito ó cyber crimen, mejores prácticas de cyber crimen, mejores prácticas de desarrollo.desarrollo.
Selección de la plataforma de Selección de la plataforma de desarrollodesarrollo
Las tecnologías utilizadas para el Las tecnologías utilizadas para el desarrollo son:desarrollo son:– Microsoft Visual Studio .Net Enterprise Microsoft Visual Studio .Net Enterprise
Edition 2003Edition 2003 .NET Framework 1.1.NET Framework 1.1 ASP.NET – Librerías de Desarrollo para internetASP.NET – Librerías de Desarrollo para internet C# - Herramienta de ProgramaciónC# - Herramienta de Programación ADO.NET – Librerías de Acceso a DatosADO.NET – Librerías de Acceso a Datos
– Microsoft SQL Server 2000Microsoft SQL Server 2000
Arquitectura del sitio WebArquitectura del sitio Web
La arquitectura del sitio esta formada por 6 La arquitectura del sitio esta formada por 6 capas lógicas que interactúan entre si, cada una capas lógicas que interactúan entre si, cada una de las capas implementa las funciones de las capas implementa las funciones necesarias para manejar una porción específica necesarias para manejar una porción específica del proyecto. del proyecto.
– Interfaz de usuarioInterfaz de usuario Capa Web Capa Web
– Librerías de ClasesLibrerías de Clases Capa CapaNegocio Capa CapaNegocio Capa ReglasNegocio Capa ReglasNegocio Capa AccesoDatos Capa AccesoDatos Capa SystemFramework Capa SystemFramework Capa Común Capa Común
Disponibilidad de la AplicaciónDisponibilidad de la AplicaciónDespliegue SeguroDespliegue Seguro
Solución a problemas de Dll’s y Solución a problemas de Dll’s y COM (Dll’s Hell)COM (Dll’s Hell)
Microsoft Framework 1.1Microsoft Framework 1.1– Assemblyes firmadosAssemblyes firmados– Código y Tipos SegurosCódigo y Tipos Seguros– Fin de reseteos del server de Fin de reseteos del server de
aplicacionesaplicaciones– Fin de pantalla azul Fin de pantalla azul
Despliegue seguroDespliegue seguroProblemas con DLL y COMProblemas con DLL y COM
DLL HellDLL Hell– Aplicaciones compiladas con una DLL no Aplicaciones compiladas con una DLL no
funcionan con DLLs nuevasfuncionan con DLLs nuevas– Aplicaciones de terceros sobrescriben Aplicaciones de terceros sobrescriben
nuestras DLLsnuestras DLLs COMCOM
– Mecanismo sencillo de versionadoMecanismo sencillo de versionado– No se utilizaNo se utiliza– No es fiableNo es fiable
Despliegue seguroDespliegue seguroFirma de código con certificadoFirma de código con certificado
Además del strong name, los Además del strong name, los assemblies pueden estar certificadosassemblies pueden estar certificados– Firma digital sobre el ficheroFirma digital sobre el fichero– Permite identificar al creador del assemblyPermite identificar al creador del assembly
Puede recuperarse en tiempo de Puede recuperarse en tiempo de ejecuciónejecución– Clase X509CertificateClase X509Certificate
Puede establecerse seguridad de Puede establecerse seguridad de código y enlazado sobre el certificadocódigo y enlazado sobre el certificado
StrongNameLib.dllStrongNameLib.dll
PE HeaderPE Header
CLR Header
Strong Name SignatureStrong Name Signature
ManifiestoManifiesto
MetadataMetadata
ILIL001110010101000101011111000010001110010101000101011111000010110100011100001110101010100010110100011100001110101010100010101010100010101011110000101001101010100010101011110000101001
VersiónVersión
Public keyPublic key
Despliegue seguroDespliegue seguroFirma de códigoFirma de código
ClaveClavePrivadaPrivadaClaveClave
PrivadaPrivadaClaveClave
PúblicaPúblicaClaveClave
PúblicaPública
SignatureSignatureSignatureSignature
HASHHASHHASHHASH
StrongNameLib.dll
PE HeaderPE Header
CLR HeaderCLR Header
Strong Name SignatureStrong Name Signature
ManifiestoManifiesto
MetadataMetadata
ILIL001110010101000101011111000010001110010101000101011111000010110100011100001110101010100010110100011100001110101010100010101010100010101011110000101001101010100010101011110000101001
VersiónVersión
Public keyPublic key
Despliegue seguroDespliegue seguroVerificación de firmaVerificación de firma
StrongName.exeStrongName.exe
PE HeaderPE Header
ManifiestoManifiesto
MetadataMetadata
ILIL001110010101000101011111000010001110010101000101011111000010110100011100001110101010100010110100011100001110101010100010
AssemblyRef
StrongNameLib.dll
Versión
Public key token
Strong NameStrong Name
NombreNombre
VersiónVersión
CultureCulture
Public key tokenPublic key token
Strong NameStrong Name
NombreNombre
VersiónVersión
CultureCulture
PublicPublic key token
Public keyPublic keyPublic keyPublic keySignatureSignatureSignatureSignature
SignatureSignatureSignatureSignature
HASHHASHHASHHASH
Seguridad de tiposSeguridad de tiposCódigo Type-Safe y verificaciónCódigo Type-Safe y verificación
Un código es type-safe si:Un código es type-safe si:– Accede a posiciones de memoria válidasAccede a posiciones de memoria válidas– Accede sólo a miembros expuestos de las Accede sólo a miembros expuestos de las
clasesclases– Utiliza referencias verdaderasUtiliza referencias verdaderas
Proceso de verificaciónProceso de verificación– Examina el código IL y los metadatosExamina el código IL y los metadatos– Efectuado durante el JITEfectuado durante el JIT– Si el código no es verificable se lanza una Si el código no es verificable se lanza una
excepciónexcepción
Seguridad de tiposSeguridad de tiposApplications DomainsApplications Domains
Proceso virtual dentro de un Proceso virtual dentro de un proceso físico del sistemaproceso físico del sistema
Proceso Nativo 2Proceso Nativo 2
Application Application Domain 3Domain 3
Application Application Domain 3Domain 3
Proceso Nativo 1Proceso Nativo 1
Application Application Domain 1Domain 1
Application Application Domain 1Domain 1
Application Application Domain 2Domain 2
Application Application Domain 2Domain 2
Diseño e implementación de un sitio Diseño e implementación de un sitio de comercio electrónicode comercio electrónico
El desarrollo del sitio Web en el cual se El desarrollo del sitio Web en el cual se comercializarán productos ha seguido un comercializarán productos ha seguido un proceso de análisis y diseño en base a proceso de análisis y diseño en base a nuestra necesidad y al problema que se nuestra necesidad y al problema que se intenta resolver.intenta resolver.
Seguridad de la Seguridad de la Aplicación anti-delito ó Aplicación anti-delito ó cyber crimen.cyber crimen.
Manejo de la cadena de conexiónManejo de la cadena de conexión Manejo de Credenciales del Manejo de Credenciales del
ClienteCliente Ejecución de con permiso limitadoEjecución de con permiso limitado Usuario con permiso limitadoUsuario con permiso limitado Inyección de Código MaliciosoInyección de Código Malicioso
Conclusiones y Conclusiones y RecomendacionesRecomendaciones
Conclusiones y Conclusiones y RecomendacionesRecomendaciones
La mayor barrera para una empresa que pretende La mayor barrera para una empresa que pretende comercializar productos a través de la Internet es el grado comercializar productos a través de la Internet es el grado de confianza que actualmente tiene el mercado en este de confianza que actualmente tiene el mercado en este tipo de negocios. tipo de negocios.
La única manera de vencer el miedo de los usuarios es La única manera de vencer el miedo de los usuarios es mejorando los niveles de seguridad que se ofrecen al mejorando los niveles de seguridad que se ofrecen al comprador y dando a conocer la inversión que se hace en comprador y dando a conocer la inversión que se hace en recursos y conocimientos con el fin de que las recursos y conocimientos con el fin de que las transacciones sean seguras. transacciones sean seguras.
Es necesario contar con un buen diseño gráfico del sitio y Es necesario contar con un buen diseño gráfico del sitio y con herramientas de ayuda al usuario. Es por esto que el con herramientas de ayuda al usuario. Es por esto que el equipo de trabajo de la empresa deberá tener a la equipo de trabajo de la empresa deberá tener a la seguridad como un parte integral durante la creacion del seguridad como un parte integral durante la creacion del sitio, pero además deberá tener buenos conocimientos de sitio, pero además deberá tener buenos conocimientos de interacción hombre – máquina.interacción hombre – máquina.
Conclusiones y Conclusiones y RecomendacionesRecomendaciones
A pesar de los esfuerzos por maximizar la A pesar de los esfuerzos por maximizar la seguridad, esta nunca será absoluta. Todos los seguridad, esta nunca será absoluta. Todos los elementos de seguridad como los firewalls, elementos de seguridad como los firewalls, servidores Web, sistemas de detección de intrusos, servidores Web, sistemas de detección de intrusos, bases de datos, antivirus y directorio de red son bases de datos, antivirus y directorio de red son propensos a sufrir ataques malintencionados y propensos a sufrir ataques malintencionados y nuestra tarea constante será evitarlos, detectarlos y nuestra tarea constante será evitarlos, detectarlos y corregirlos.corregirlos.
Este proyecto queda abierto a posteriores Este proyecto queda abierto a posteriores desarrollos que complementen su funcionalidad, y desarrollos que complementen su funcionalidad, y puede servir como marco referencial a futuros puede servir como marco referencial a futuros proyectos sobre tecnología de desarrollo web proyectos sobre tecnología de desarrollo web utilizando las herramientas de Microsoft .Net. utilizando las herramientas de Microsoft .Net.
GRACIASGRACIAS