PDF de programación - Implantación de seguridad en entornos Web

ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA DE TELECOMUNICACIÓN

UNIVERSIDAD POLITÉCNICA DE CARTAGENA



Proyecto Fin de Carrera

Implantación de seguridad en entornos Web.



AUTOR: Juan Manuel Saura Martín.
DIRECTOR: Pedro Sánchez Palma.
Julio / 2006









Juan Manuel Saura Martín
[email protected]
Pedro Sánchez Palma
[email protected]
Implantación de seguridad en entornos Web.

Autor
E-mail del Autor
Director(es)
E-mail del Director
Título del PFC

Resúmen



En el desarrollo Web existen numerosos problemas debido a la seguridad. Ante
esta situación, al diseñar páginas Web debemos tenerla en cuenta, tanto software como
hardware, para ello es necesario instalar servidores seguros, o con módulos de seguridad
donde podamos modificar su configuración para dotarlos de la misma.

En este proyecto se ha hecho un estudio sobre la seguridad Web y hemos estudiado
el caso práctico del servidor Apache con lenguaje de programación php y base de datos
MySQL. Para tal estudio hemos utilizado protocolos de seguridad como SSL y md5.

Se ha hecho un estudio sobre autentificación de usuarios, comprobando las

diferentes maneras que hay de autentificarse.

Además en este proyecto hemos estudiado los certificados digitales, tanto desde la
creación de una autoridad que certifique nuestros certificados, hasta la creación de nuestro
propio certificado Web.



Titulación

Departamento

Ingeniero Técnico de Telecomunicación especialidad Telemática
Departamento De Tecnologías de
información y Las
Comunicaciones (TIC).

la

Fecha de Presentación

Julio - 2006











Me gustaría agradecer gentilmente a todas las personas que contribuyeran con

recomendaciones, ayuda y aliento mientras realizaba este proyecto.

Deseo expresar al profesor Pedro Sánchez Palma por su dirección y asesoramiento,
gracias a los cuales ha sido posible la realización de la investigación recogida en este
proyecto. Asimismo quiero agradecer su apoyo y la estrecha colaboración que hemos
mantenido durante este tiempo.

Primero quisiera agradecer a mi familia y mis Abuelos, en especial a mis padres y

mi hermana. Sin su apoyo hubiera sido imposible terminar este proyecto.

Dar las gracias a esa chica que tanto me ha apoyado desde el primer momento y que
siempre ha estado en esos momentos difíciles que a veces se presentan, muchas gracias
Alicia.

También quisiera agradecer a todos mis colegas y amigos que me ayudaron en la

elaboración del mismo.

Por último agradecer a todas aquellas personas que directa o indirectamente me han

ayudado o me han apoyado en este proyecto.

A todas estas personas ¡Un millón de gracias!









ÍNDICE DE CONTENIDOS

1.3.1

1.1
1.2
1.3

1.4

3.3.1
3.3.2

1 LA SEGURIDAD EN SISTEMAS SOFTWARE________________________ 1
Introducción _____________________________________________________ 1
La seguridad en sistemas software ___________________________________ 1
Principios básicos _________________________________________________ 4
Tipos de atacantes más habituales: ______________________________________ 4
La seguridad en entornos Web ______________________________________ 7
2 POLÍTICAS GENERALES DE SEGURIDAD _________________________ 8
Introducción _____________________________________________________ 8
2.1
2.2
¿Qué es una política de seguridad? __________________________________ 9
2.3 Aspectos físicos de la política de seguridad.___________________________ 13
2.4 Aspectos lógicos de la política de seguridad. __________________________ 15
2.5 Aspectos humanos y organizativos de la política de seguridad.___________ 16
2.6 Aspectos legales de la política de seguridad. __________________________ 18
3 MÉTODOS DE ATAQUE Y SOLUCIONES__________________________ 22
Introducción ____________________________________________________ 22
3.1
3.2
Elementos de la seguridad_________________________________________ 22
3.3 Amenazas ______________________________________________________ 22
Tipos de amenazas. _________________________________________________ 22
Origen de las amenazas. _____________________________________________ 23
3.3.2.1 Personas ________________________________________________________ 23
3.3.2.2 Amenazas lógicas_________________________________________________ 25
3.4 Mecanismos_____________________________________________________ 29
Taxonomía de los tipos de ataques. _________________________________ 30
3.5
Ataques remotos.___________________________________________________ 31
3.5.1.1 Escaneo de puertos. _______________________________________________ 31
3.5.1.2 Spoofing. _______________________________________________________ 34
3.5.1.3 Negaciones de servicio. ____________________________________________ 35
Interceptación____________________________________________________ 39
3.5.1.4
Ataques orientados a la obtención de información sobre el objetivo. ___________ 40
Ataques vía Web. __________________________________________________ 41
Ataques a los sistemas. ______________________________________________ 43
3.5.4.1 Troyanos. _______________________________________________________ 43
3.5.4.2 Hackers. ________________________________________________________ 44
3.5.4.3 Virus. __________________________________________________________ 44
3.5.4.4 Hoax. __________________________________________________________ 44
3.5.4.5 Spam. __________________________________________________________ 45
3.5.4.6 Dialers. _________________________________________________________ 45
Sistemas de detección de intrusos. __________________________________ 45
Clasificación de los IDS._____________________________________________ 48
3.6.1.1 Clasificación por situación. _________________________________________ 48
3.6.1.2 Clasificación según los modelos de detecciones. _________________________ 49
3.6.1.3 Clasificación según su naturaleza. ____________________________________ 50
Topologías de los IDS. ______________________________________________ 50
Arquitecturas basadas en IDS._________________________________________ 52
3.6.3.1 Arquitecturas basadas en agentes autónomos. ___________________________ 52
3.6.3.2 Arquitectura de exploración de datos en tiempo real. _____________________ 54

3.5.2
3.5.3
3.5.4

3.5.1

3.6

3.6.1

3.6.2
3.6.3





3.6.4
3.6.5
sistemas IDS.
3.6.6
3.6.7

5

4.3.1

4.3.2

4.4

4.4.1
4.4.2

Características deseables de un IDS.____________________________________ 55
Metodología para la detección de intrusos y para la selección e implantación de
57
Detección de “problemas”. ___________________________________________ 60
Detección de usos indebidos. _________________________________________ 62
4 AUTENTIFICACIÓN Y CERTIFICADOS DIGITALES________________ 65
4.1
Introducción ____________________________________________________ 65
4.2 Autentificación. _________________________________________________ 65
4.3 Autentificación HTTP basada en php._______________________________ 67
Autentificación HTTP Basic. _________________________________________ 68
4.3.1.1 Configuración de httpd.conf_________________________________________ 68
4.3.1.2 Creación de un usuario. ____________________________________________ 69
4.3.1.3 Creación de un grupo. _____________________________________________ 69
Autentificación HTTP Digest._________________________________________ 70
4.3.2.1 Configuración de httpd.conf_________________________________________ 70
4.3.2.2 Creación de un usuario. ____________________________________________ 70
Firma digital. ___________________________________________________ 71
Funcionamiento de la firma digital._____________________________________ 72
Autoridades de certificación.__________________________________________ 72
4.5 Certificados digitales._____________________________________________ 74
INTRODUCCIÓN A LOS SERVIDORES Web: EL CASO APACHE. _____ 77
5.1
Servidores Web. _________________________________________________ 77
Servidor Web: caso Apache. _______________________________________ 79
5.2
Comprobación del entorno. ___________________________________________ 80
Instalación de apache en Linux. _______________________________________ 81
Configurar apache para seguridad______________________________________ 83
5.2.3.1 El protocolo SSL._________________________________________________ 84
5.2.3.2 Creación de nuestra propia CA. ______________________________________ 85
5.2.3.3 Creación de nuestro CSR. __________________________________________ 86
5.2.3.4 Creación de un CRT. ______________________________________________ 87
5.2.3.5 Configuración apache. _____________________________________________ 87
5.2.3.6 Limpieza de archivos. _____________________________________________ 88
6 LENGUAJE DE PROGRAMACIÓN Web Y BASES DE DATOS. ________ 89
Lenguaje de programación Web php________________________________ 89
Instalación de php.__________________________________________________ 91
Sesiones vs Cookies ______________________________________________ 92
Sesiones__________________________________________________________ 92
6.2.1.1 Funcionamiento sesiones ___________________________________________ 92
Cookies __________________________________________________________ 93
Sesiones vs Cookies ________________________________________________ 93
Bases de datos___________________________________________________ 93
Instalación de MySQL. ______________________________________________ 94
phpMyAdmin __________________