Seguridad en infraestructura de tecnología de la información Certificados Digitales Ingeniería de sistemas y computación Johan jsgiraldoh.ioGiraldo
Advertencia 26/08/2022 Seguridad en infraestructura de tecnología de la información 2
Advertencia
26/08/2022
Toda la información y herramientas que se proveen son con fines educativos y con el propósito de formar un profesional con valores y principios que puedan aportar a la sociedad.
En todos los capítulos de esta formación se recalcan los valores y principios éticos obtenidos por la persona en su hogar y educación.
Seguridad en infraestructura de tecnología de la información
3
26/08/2022
La seguridad al navegar por Internet es un factor muy importante.Siempre que entramos en una página web o accedemos a un servicio online, enviamos y recibimos datos. Esa información personal podría quedar expuesta en la red si no hubiera seguridad, si no viajara de forma cifrada. Ahí es donde entran en juego protocolos como SSL y TLS. El objetivo es permitir que esos datos personales que enviamos al iniciar sesión, por ejemplo, no queden expuestos para quecualquierapuedarecopilarlos.
Certificados SSL TLS
Seguridad en infraestructura de tecnología de la información
4
5
Certificados SSL TLS
Seguridad en infraestructura de tecnología de la información
Los certificados SSL o TLS se conocen también como certificados digitales. TLS no es más que una versión renovada de SSL, pero en muchos casos seguiremos viendo este término simplemente como certificado SSL. Es básicamente un archivo que contiene datos para vincular claves criptográficas con los datos de un sitio web. El objetivo de este tipo de certificados es proporcionar seguridad. Lo que hace es cifrar el contenido que enviamos y recibimos cuando navegamos por una página web. Podremos verificar si el sitio tiene certificado en el propio navegador. Por ejemplo, en Chrome veremos un candado justo antes de la URL. Eso nos indicará que utiliza este tipo de certificados digitales. Eso sí, algunos navegadores van dejando a un lado este tipo de señales y simplemente nos alertan cuando una página no tiene certificado. 26/08/2022
Seguridad en infraestructura de tecnología de la información
Una vez un usuario entre en un sitio web, automáticamente se habilita una conexión segura entre el servidor donde esté alojado ese sitio y el navegador desde donde está accediendo una persona.
El navegador puede ser cualquiera que sea compatible con ese tipo de protocolo que utilice el sitio web. Lo normal es que cualquiera que utilicemos hoy lo sea. Ese certificado va a estar vinculado a un nombre de dominio, como puede ser RedesZone, el nombre de servidor o un host. Además, también va a ir vinculado al nombre de la empresa u organización, para otorgar así fiabilidad. Cuando se ha instalado correctamente en el servidor, aparecerá HTTPS en vez de HTTP cuando alguien entre en el sitio web.
Certificados SSL TLS
26/08/2022
6
26/08/2022
Por qué son importantes
¿Para qué es realmente importante que haya un certificado SSL? El motivo es claro: seguridad. Si no navegamos por una página cifrada, nuestros datos pueden quedar expuestos. Significa que todo lo que enviemos va a viajar en texto plano. Si por ejemplo nos conectamos a una red Wi-Fi en un aeropuerto, alguien dentro de esa red podría estar leyendo lo que enviamos. Podría, en definitiva, llevar a cabo un ataque Man-in-the-Middle y robar nuestras contraseñas y credenciales. Pensemos, por ejemplo, en un pago con tarjeta en cualquier página web. Tenemos que introducir datos en la pasarela de pagos y contactar con el servidor. Esa información va a viajar por la red y si no hubiera ese cifrado quedaría expuesta para que cualquiera pudiera leerlo.
Seguridad en infraestructura de tecnología de la información
7
8
Seguridad en infraestructura de tecnología de la información
También son importantes los certificados SSL/TLS para utilizar redes sociales o cualquier servicio de mensajería instantánea.Todo lo que enviamos va cifrado y, de esta forma, evitamos que un intruso pueda leer el contenido de una conversación. Sería, una vez más, un ataque posible dentro de una red Wi-Fi insegura si no estuviera Perocifrado.además, de cara a tener una página web propia es muy importante que cuente con certificados SSL. Va a ser importante para el posicionamiento de la web, ya que Google y otros motores de búsquedas valoran mucho esto. También mejorará la confianza de los visitantes, ya que encontrarse con un mensaje de advertencia diciendo que ese sitio es inseguro no invita a visitarlo. 26/08/2022
Por qué son importantes
Cómo
funciona
26/08/2022
Seguridad en infraestructura de tecnología de la información
9
Este tipo de certificados deben ser instalados en un servidor. A partir de ahí, cuando el usuario accede a esa página alojada en ese servidor, su navegador va a mostrar un mensaje indicando que efectivamente el sitio es seguro y está cifrado. Verán HTTPS y, en caso de pinchar en el icono del candado, podrán también acceder a la información de ese certificado. El servidor va a enviar una copia de la clave pública al navegador. Por su parte, el navegador va a crear una clave de sesión simétrica y la cifra con esa clave pública asimétrica del servidor. Posteriormente la envía de nuevo al servidor. Ese servidor se encarga de descifrar la clave de sesión que ha recibido a través de su clave privada asimétrica y obtiene la clave de sesión simétrica. A partir de ese momento, todo lo que se envía va a estar cifrado. La comunicación entre el navegador y el servidor va a ser cifrada y nadie podrá leer lo que se envía. Hay que tener en cuenta que esa clave de sesión se crea cuando entramos en un sitio web. No importa si luego volvemos a entrar, ya que volvería a crear otra. Este proceso es totalmente automático y es un tiempo que no vamos a notar los usuarios cuando entramos en cualquier sitio web.
10
Tipos de protocolos SSL y TLS
No todos los protocolos son iguales, ya que hay diferentes versiones. De hecho, SSL podemos decir que ha quedado obsoleta. Hoy en día los actuales son TLS, aunque generalmente se sigue denominando como certificado SSL. Y sí, también hay varias versiones de los certificadosTLS y algunas de ellas obsoletas. Hay tres tipos de versiones SSL: 1.0, 2.0 y 3.0. La primera ni siquiera llegó a usarse realmente; las otras dos sí hasta 2011 y 2015, respectivamente. Desde ese año ya empezó a considerarse como un protocolo desaparecido. En cuanto a los certificadosTLS, hay también diferentes versiones: TLS 1.0, 1.1, 1.2 y 1.3. Las dos últimas son las que siguen vigentes a día de hoy. Ambas se consideran seguras y perfectamente funcionales. Por tanto, si vas a instalar un certificado SSL/TLS en tu sitio web, es imprescindible que instales la versión del protocolo 1.2 o 1.3 deTLS. Solo así realmente estarás protegiendo la página y los navegadores considerarán que es segura. De lo contrario, tu sitio sería vulnerable y eso sería un problema de cara a Google y al prestigio de la propia página web. Seguridad en infraestructura de tecnología de la información
26/08/2022
Los certificados SSL tienen diferentes niveles de validación. Esto va a depender de si somos una organización, usuario particular, etc. El objetivo de ello es poder certificar que el sitio web es el que debería y para ello es necesario llevar a cabo un proceso con el que poder validarlo. en infraestructura de tecnología de la información
Nivel de validación
11
26/08/2022 Seguridad
Nivel de validación
Seguridad en infraestructura de tecnología de la información
26/08/2022
Validación de dominio
12
Este es el más sencillo de los tres niveles. Básicamente consiste en validar que el propietario del dominio es el que dice serlo. Pueden verificarlo a través de un correo electrónico, por ejemplo. Realizan diferentes comprobaciones en los registros de los DNS de ese dominio para confirmar la identidad. Es imprescindible para que en el dominio, en la URL del navegador, aparezca HTTPS. No tarda demasiado tiempo, ya que hablamos de que lo máximo son unas horas. No obstante, lo normal es que tarde unos minutos. Es la validación más común para usuarios que tengan una página web.
13
Eso sí, es una validación más completa. Va a aparecer la información de la organización y eso generará confianza. Es el más utilizado por las empresas. Muy importante para, por ejemplo, una tienda online. Así lograremos que los clientes tengan garantías. Seguridad en infraestructura de tecnología de la información
Nivel de validación
De organización
El siguiente nivel ya es más complejo. Se trata de validar una organización y en este caso no es tan automático. Lo normal es que tengan que contactar con esa empresa y así confirmar que realmente son los que quieren crear ese dominio y verificar la identidad. Es una manera de evitar fraudes y suplantaciones. En este caso sí hay que dedicar más tiempo. Va a durar varios días.
26/08/2022
Extendidos
El tercer nivel es el que se conoce como certificados de validación extendidos. Estamos ya ante el nivel máximo. Aquí será necesario validarlo a través de temas legales, presentar documentos y también recibir una inspección para verificar que efectivamente todo es legal y no hay nada extraño detrás. Esto lo utilizan especialmente grandes empresas que son muy conocidas. Se necesita más tiempo, varias semanas, y también es un proceso más costoso.
Nivel de validación
Seguridad en infraestructura de tecnología de la información
26/08/2022
14
No obstante, este proceso dará una seguridad máxima a los usuarios para que sepan que realmente están navegando en la página correspondiente a esa empresa u organización.
15
Estos certificados también pueden diferenciarse según la cantidad de dominios o subdominios. Hay diferentes tipos, como vamos a ver. El objetivo es el mismo: dar validez a un dominio para aumentar así las garantías de cara a los visitantes, para que no tengan dudas de su seguridad. Dominio simple El primero es el más sencillo de todos. Básicamente consiste en dar validez a un dominio concreto. Por ejemplo un certificado que actúe sobre RedesZone.net. Únicamente va a dar validez a ese en concreto y no a cualquier subdominio o algún dominio más que tengamos en propiedad. Es lo más indicado para quienes tienen alguna página web propia, a nivel personal, y no necesitan más que eso. Es lo más sencillo y no va a hacer falta certificar ningún subdominio adicional que pueda haber en una web mayor, por ejemplo.
26/08/2022
Cantidad de dominios o subdominios
Seguridad en infraestructura de tecnología de la información
Hemos visto que a nivel de usuario también debemos asegurarnos de que estamos en una página cifrada. Por ejemplo para poder realizar un pago online sin que la información quede expuesta o poder enviar mensajes por redes sociales sin que un intruso pueda leer ese contenido.
Podemos decir que contar con certificados de este tipo es algo básico hoy en día. Quedan muy pocas páginas web inseguras, sin cifrar. Además, de cara a optimizar el posicionamiento web y no tener problemas con Google, es también necesario hacer esta inversión y adquirir un certificado para la página.
26/08/2022
16
Conclusiones
Seguridad en infraestructura de tecnología de la información
Laboratorio - Servidor Nginx - HTTPS ◼Instalar el repositorio necesario para instalar el servicio web con nginx ◼Actualizar los repositorios del sistema operativo ◼Instalar el servicio de nginx 26/08/2022 Seguridad en infraestructura de tecnología de la información 17
Laboratorio - Servidor Nginx - HTTPS ◼ Ejecutar el siguiente comando: mkdir -p /etc/nginx/cert ◼ Ejecutar el siguiente comando: openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/nginx/cert/www.empresa.com.keyout /etc/nginx/cert/www.empresa.com.crt 26/08/2022 Seguridad en infraestructura de tecnología de la información 18
Laboratorio - Servidor Nginx - HTTPS 26/08/2022 Seguridad en infraestructura de tecnología de la información 19
Laboratorio - Servidor Nginx - HTTPS 26/08/2022 Seguridad en infraestructura de tecnología de la información 20
Laboratorio - Servidor Nginx - HTTPS 26/08/2022 Seguridad en infraestructura de tecnología de la información 21
Laboratorio - Servidor Nginx - HTTPS ◼ Dirigirse a la siguiente ruta /usr/share/nginx/html/ ◼ Dentro de esta, crear el directorio www ◼ Crear un index.html para presentar en el servicio web 26/08/2022 Seguridad en infraestructura de tecnología de la información 22
Laboratorio - Servidor Nginx - HTTPS 26/08/2022 Seguridad en infraestructura de tecnología de la información 23
Laboratorio - Servidor Nginx - HTTPS 26/08/2022 Seguridad en infraestructura de tecnología de la información 24
Laboratorio - Servidor Nginx - HTTPS 26/08/2022 Seguridad en infraestructura de tecnología de la información 25
Laboratorio - Servidor Nginx - HTTPS 26/08/2022 Seguridad en infraestructura de tecnología de la información 26
¡ Happy Hacking ! 26/08/2022 Seguridad en infraestructura de tecnología de la información 27
Referencias ◼Jimenez, J. (16 de enero 2022). Todo sobre los certificados SSL TLS: qué son y para qué sirven. Recuperado son-certificados-ssl-tls/https://www.redeszone.net/tutoriales/seguridad/que-de: 26/08/2022 Seguridad en infraestructura de tecnología de la información 28