T E S I S

More documents

Recommendations

Info

1.1.2. Vulnerabilidades Al encontrarse en ambientes abiertos los servicios web se encuentran expuestos, a continuación se presentan los tipos de ataques más relevantes que pueden afectar a los servicios web: • Ataques externos: Las aplicaciones de e-business intercambian información que es muy valiosa. Las e-business son empresas que intercambian miles de registros de pacientes y comercio de acciones que valen millones. Para los servicios web basados en Internet, los ataques a estos sistemas pueden ser montados en cualquier máquina de escritorio en el mundo utilizando herramientas de software muy simples. • Ataques internos: Se ha sabido que la mayoría de las violaciones de seguridad son realizadas por empleados que se presumen son de confianza. Pueden establecer una trampa para acceder a datos corporativos después de dejar la empresa. Además de que es posible que puedan cometer fraudes creando clientes ficticios, a fin de negociar con acciones o fabricando mercancías 10 . • Los servicios web están diseñados para ser abiertos e interoperables. Desde que se establecen los cortafuegos para permitir pasar el tráfico HTTP, las solicitudes de los servicios web por HTTP pasan a través de los cortafuegos fácilmente, dejando a la red interna expuesta 11 . • Los datos envueltos en sobres SOAP proveen un camino para entender la estructura y el significado de los datos que son enviados y recibidos por los servicios web 12 . 10 Bret Hartman, Donald J. Flinn, Konstantin Beznosov, Shirley Kawamoto, Mastering Web Services Security, Wiley Publishing Inc., 2003, pág.350 11 Bret Hartman, Donald J. Flinn, Konstantin Beznosov, Shirley Kawamoto, Mastering Web Services Security, Wiley Publishing Inc., 2003, pág.351 12 David Chappell, Java Web Services, O´Reilly, 2002, pág.227 16
1.2. Delimitación y justificación del problema En el punto anterior se mencionaron las ventajas, desventajas y vulnerabilidades de los servicios web, además se dieron varios ejemplos del uso de los servicios web para la integración de aplicaciones. Considerando todos estos elementos se procede a la definición y delimitación del problema a solucionar. 1.2.1. Objetivo El objetivo de este trabajo es la implementación de controles de seguridad que permitan y garanticen la autorización, autenticación, no repudio de la información, confidencialidad e integridad en los servicios web, con la intención de generar una guía práctica que ofrezca una solución a los problemas de seguridad que se presentan cuando se utilizan servicios web para la integración de aplicaciones y servicios. 1.2.2. Justificación del problema La necesidad de implementar controles de seguridad en los servicios web como un componente independiente, se origina por la falta de tecnologías en el stack de los servicios web que permitan implementar soluciones relacionados a la seguridad. La siguiente tabla contiene las tecnologías que forman el stack con el que los servicios web son implementados: Nombre Directorio Descripción Empaquetado Transporte Red Tecnología Universal Description, Discovery, and Integration (UDDI) Web Service Description Language (WSDL) Simple Object Access Protocol (SOAP) y Extensible Markup Language (XML) Hyper Text Transfer Protocol (HTTP) TCP/IP 17 Tabla 1: Tecnologías del stack de los servicios web Como se puede apreciar en la tabla anterior, las capas del stack de los servicios web no proveen una solución completa a muchos problemas de negocios. Por ejemplo, no se
Page 1 and 2: INSTITUTO POLITÉCNICO NACIONAL UNI
Page 3 and 4: 3
Page 5 and 6: AGRADECIMIENTOS A mi director de te
Page 7 and 8: Abstract The use of Web services as
Page 9 and 10: CAPITULO 3: DISEÑO CONCEPTUAL Y F
Page 11 and 12: Índice de Tablas Tabla 1: Tecnolog
Page 13 and 14: El capítulo 3 está formado por la
Page 15: 1.1.1. Ventajas y Desventajas Los e
Page 19 and 20: Capitulo 2: Plataforma SOA y Seguri
Page 21 and 22: e) Servicios de Lógica de Negocio
Page 23 and 24: Paso 2.2: Definir los Tipos de Mens
Page 25 and 26: Paso 3.1: Revisión de los Servicio
Page 27 and 28: Paso 4: Diseño de Servicios Empres
Page 29 and 30: facilita un alto nivel de potencial
Page 31 and 32: 2.2.2. Capa de Aplicación La imple
Page 33 and 34: 2.3.5. No repudio Este término res
Page 35 and 36: 2.4.2. XML Encryption La especifica
Page 37 and 38: 36 Elemento Éste elemento es mand
Page 39 and 40: 40 Elemento Éste elemento pro
Page 41 and 42: ( ()? )+ ()? ()* Los operad
Page 43 and 44: El elemento SignatureMethod es requ
Page 45 and 46: Elemento El elemento KeyInfo es op
Page 47 and 48: capaces de interpretar los datos en
Page 49 and 50: 3.2. Caso Práctico 2 Para el caso
Page 51 and 52: Desarrollo La siguiente tabla ilust
Page 53 and 54: información, además de que existe
Page 55 and 56: El servicio web requiere recibir lo
Page 57 and 58: El siguiente diagrama muestra la in
Page 59 and 60: 3.5. Diseño Físico La definición
Page 61 and 62: 3.5.3. Configuración de Equipos An
Page 63 and 64: 3.5.5. Creación de Certificados An
Page 65 and 66: En el stack de servicios web Metro
Page 67 and 68:
• El elemento especifica que
Page 69 and 70:
} } throw new Exception("SAML Asser
Page 71 and 72:
Figura 7: Diagrama de Arquitectura
Page 73 and 74:
AuthorityKeyIdentifier [ KeyIdentif
Page 75 and 76:
• Dejar los valores por defecto y
Page 77 and 78:
Hostname IP Equipos empresa.localdo
Page 79 and 80:
Figura 10: Diagrama de flujo prueba
Page 81 and 82:
Figura 13: Pantalla de error en tra
Page 83 and 84:
El resultado al intentar acceder a
Page 85 and 86:
Los datos obtenidos en la captura d
Page 87 and 88:
A continuación se presenta el cont
Page 89 and 90:
Otro elemento identificado necesari
Page 91 and 92:
Glosario de términos API (Applicat
Page 93 and 94:
SSL (Secure Sockets Layer): Protoco
Page 95 and 96:
Apéndice 1 Instalación de Softwar
Page 97 and 98:
Para la instalación del Java Runti
Page 99 and 100:
Para mantener el servidor de aplica
Page 101 and 102:
101 Figura 23: Herramienta Update t
Page 103 and 104:
Actualización fedora Para buscar e
show all

T E S I S

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?