Protocolos de Transferencia y Seguridad en la Web

¿Qué es HTTP?

Es un protocolo de transferencia de hipertexto creado como un medio para compartir los datos científicos a nivel internacional, instantáneamente y bajo costo.

• Protocolo de transferencia: Es un sistema mediante el cual la información solicitada es enviada entre los servidores y los clientes e interpretada a través de un programa, como un navegador Web.
• Protocolo sin estado: No recuerda ningún suceso de conexiones anteriores a la actual, HTTP es un protocolo sin estado.
• Cookies: Son unos ficheros de texto que se intercambian entre el cliente y el servidor de modo que la próxima vez que se demande un intercambio de información entre estos se tendrá en cuenta la información de dichos ficheros.

Métodos de petición (Request)

Una petición HTTP tiene la sintaxis “Método, espacio en blanco, URI, espacio en blanco, y versión”. La versión 1.0 de HTTP contempla tres métodos:

• GET: Para obtener cualquier información del servidor
• HEAD: Parecido a GET pero sin el cuerpo del mensaje
• POST: Dedicado al envío de información desde el cliente.

La versión de HTTP 1.1 amplía con nuevos métodos:

• PUT: Envía el recurso objeto de la URL del cliente al servidor
• DELETE: Borra el recurso solicitado del servidor
• OPTIONS: El cliente obtiene información del servidor, puede negociar los valores de los parámetros de la comunicación, etc.

Tipos MIME

Son una serie de especificaciones que permiten el intercambio a través de Internet de todo tipo de archivos de forma transparente para el usuario. En general son utilizados para dar formato a mensajes no-ASCII para que puedan ser enviados por Internet. También se utilizan en navegadores ya que les permite interpretar archivos que no están en formato HTML, es decir, el tipo MIME especifica el tipo de dato.

El protocolo HTTP utiliza tipos MIME en sus encabezados para las siguientes funciones:

• Informar al cliente el tipo de datos que está recibiendo del servidor
• Permitir la negociación de contenido
• Encapsular uno o más objetos dentro del cuerpo del mensaje.

La Firma Electrónica

La firma electrónica permite identificar a la persona que realiza una transacción, es decir, proporciona servicios de autentificación y la fiabilidad de que el autor es quien dice ser.

Cifrado simétrico

El emisor y el receptor comparten la misma clave teniendo un algoritmo común para cifrar y descifrar el mensaje transmitido. La clave única hay que compartirla y por tanto tiene que viajar por la red con el riesgo de que sea leída.

Cifrado asimétrico

El usuario utiliza 2 claves. Una privada que solo él conoce y una pública que debe ser conocida por los usuarios que quieren enviarle un mensaje cifrado.

• Clave pública: En criptografía asimétrica es una de las dos claves generadas para cifrar la autenticación de usuario. Es la clave que se transmite por la red.
• Clave privada: En criptografía asimétrica es una de las dos claves generadas para cifrar la autenticación de usuario. Es la clave que no se transmite por la red, solo es conocida por el usuario.
• Firma digital: Es un mecanismo que permite asegurar que el firmante es quien dice ser y que el mensaje que la lleva incorporada no ha sido alterado.
• Certificado digital: Consta de una clave pública y un identificador que han sido firmados digitalmente por una autoridad de certificación. Sirven para demostrar que una clave pública pertenece a un usuario concreto.

IPSCA: Es una empresa española que comercializa la emisión de certificados digitales, también emite certificados de prueba de 3 meses de duración para firmar correos.

VERISING: Esta empresa estadounidense proporciona servicios de seguridad en internet tanto a empresas grandes como pequeñas y a usuarios particulares.

¿Qué es el servicio SSH?

Es una herramienta que permite realizar conexiones seguras entre equipos unidos mediante una red insegura como Internet. Utiliza el puerto 22 y sigue el modelo cliente-servidor. Su objetivo es establecer conexiones que permitan la transmisión segura de cualquier tipo de dato. SSH da soporte seguro a cualquier protocolo que funcione sobre TCP.

La criptografía es una técnica utilizada para convertir un texto claro en otro llamado criptograma. La criptografía se basa en algoritmos cada vez más sofisticados y más difíciles de romper. Romper un sistema consiste en conseguir un método práctico para descifrar la clave de un sistema.

Cortafuegos: Es un mecanismo, hardware o software, de protección de redes. Al separar la red interna de la red externa, el cortafuegos la protege ante posibles ataques a su seguridad. Además actúa como filtro de entrada/salida.

NAT: Significa traducción de direcciones de red y su misión es enmascarar direcciones, es decir cambiar la dirección de origen o destino de un paquete, con el objetivo de ocultar una red privada detrás de un servidor con IP pública.

Funcionamiento de NAT

Permite alterar el origen o destino de un paquete actuando sobre las cabeceras, cuando pasa por una máquina que tiene activado el módulo NAT de IPTABLES. Además NAT mantiene un registro de entrada/salida de los paquetes modificados.

¿Qué son los servicios de diagnóstico?

Son programas que analizan el sistema ofreciendo información detallada, normalmente en formato de informe o log, sobre componentes físicos, aplicaciones, librerías, servicios o cualquier otro elemento.

¿Qué son los servicios de control remoto?

Facilitan la tarea de administración del sistema y permiten una gestión centralizada de la red facilitando las tareas de mantenimiento.

Control remoto por VNC

VNC es una aplicación libre basada en una estructura cliente-servidor y nos permite tomar el control del ordenador servidor remotamente a través de un ordenador cliente. También llamado software de escritorio remoto. VNC permite que el sistema operativo en cada sistema sea distinto.