Articulo o Ponencia Paso 9

CARACTERÍSTICAS DE LA SEGURIDAD EN LA WEB CON PROTOCOLOS HTTP: EL CASO DE LA COMPUTACIÓN EN LA NUBE EN COLOMBIA EN EL 2020

Gonzalo Javier Mancilla

e-mail: gjmancillap@unadvirtual.edu.co

Joan Sebastián Peláez

e-mail: jspelaez14@gmail.com

Luis Ehrman Gutiérrez Ch.

e-mail: Luis.gutierrez@outlook.com

Jefferson Aragón Aguirre

e-mail: jaragon992@misena.edu.co

      RESUMEN:

La seguridad en la nube hoy en día es una de las acciones más frecuentes, en donde cada día más las empresas u organizaciones optan por protocolos de seguridad en la nube para poder proteger la información, esto se usa a tal modo de que permite guardar y acceder a la información de manera dinámica y en tiempo real desde cualquier parte desde un dispositivo que tenga conexión a internet. Existen varios protocolos de seguridad de la información tales como HTTP, FTP, y SSH como uno de los más utilizados, el cual proporciona una forma segura de poder acceder a Internet a través de un ordenador  en donde se requiere autenticación,  ya que se requiere administrar desde una acceso remoto. La seguridad en la nube es trascendental el poder definirla debido a que ha sido malinterpretada en varias infraestructuras en donde no se define los alcances y se pueden crear usuarios no autorizados  a información confidencial, entonces  es bueno el poder definir una política.

    ABSTRACT

Security in the cloud today is one of the most frequent actions, where every day more companies or organizations opt for security protocols in the cloud to be able to protect the information, this is used in such a way that it allows saving and Access information dynamically and in real time from anywhere from a device that has an internet connection. There are several information security protocols such as HTTP, FTP, and SSH as one of the most widely used, which provides a secure way to access the Internet through a computer where authentication is required since it is required to manage from a remote access. Security in the cloud is transcendental to be able to define it because it has been misinterpreted in various infrastructures where the scope is not defined and unauthorized users can be created for confidential information, so it is good to be able to define a policy.

PALABRAS CLAVE: computación en la nube, seguridad, WAF, protocolo HTTP.

1. Introducción

El presente artículo pretende mostrar todos aquellos aspectos relevantes en referencia a la seguridad de la computación en la nube en Colombia, de tal manera, y como propuesta se plantea una solución de esta problemática considerando los lineamientos establecidos para el curso de Proyecto de Grado.

Durante el desarrollo del curso hemos venido realizando el análisis a la problemática sobre planteamientos basados en técnicas de implementación de herramientas tecnológicas en mejoras de la seguridad; con ello estaremos dando alcance a sus beneficios en términos de seguridad que veremos en los siguientes aspectos a mostrar.

2. MARCO TEÓRICO

Estudios previos realizados acerca de la seguridad en la nube para proteger la computación en la nube contra HTTO-DoS (ataques de denegación de servicios), realizados por Chonka,  Xiang, Zhou, & Bonti (2011, p1097) nos exponen:

“La mayoría de los hackers se inclinan por usar herramientas basadas en la web menos complicadas como Lenguaje de Marcado Extensible (XML), Denegación de servicios y protocolo de transferencia de hipertexto (HTTP) Denegación de servicios (H-DoS).”

Es una de las razones por las cuales hemos centrado el estudio en seguridad en la web con protocolos HTTP y computación en la nube, viendo que ésta es bastante afectada por estas personas inescrupulosas.

Respecto a conceptos básicos de computación en la nube existen nubes privadas y nubes públicas es lo que nos dice Sun (2020, p 1):

“Nube Privada: Computación en la nube es corrida y manejada en un centro de datos de una organización, la cual es referida como nube privada. En una nube privada, las relaciones entre cliente y proveedor son más fáciles de identificar porque la infraestructura pertenece y es operada por la misma organización.

Nube Pública: Las empresas, la academia u organizaciones del gobierno tienen un ambiente de nube público, el cual puede causar muchos problemas porque usuarios no conocen las ubicaciones o dueños de recursos, lo cual incrementa la dificultad de proteger los recursos de ataques.”

Es un aspecto bien importante para tener en cuenta y que nos permite darle un curso a la investigación, con el conocimiento de estas clasificaciones de la computación en la nube.

Imagen tomada de Sun (2020, p 2)

Sun nos habla también de otros términos como nube de comunidad, nube híbrida, nube virtual privada, almacenamiento de nube. Además, se observa en la imagen todo lo que hay que tener en cuenta cuando se habla de computación en la nube y seguridad de computación en la nube, lo que incluye seguridad privacidad en la nube, seguridad de privacidad de software, seguridad de infraestructura, seguridad de privacidad almacenamiento y seguridad de privacidad de la nube.

Mthunzi, Benkhelifa, Bosakowski, Guegan, & Barhamgi (2020, p 621) exponen de la seguridad de la computación en la nube:

“Una creciente literatura indica que la vulnerabilidad de máquinas virtuales para ataques del lado del canal expone IaaS (Infraestructura como un servicio), PaaS (Plataforma como un servicio) and SaaS (Software como un servicio) a infracciones. Se propuso que existen al menos 60 dominios de seguridad en la arquitectura de la nube (Baars, & Spruit, 2012), con más dominios argumentables retoñando como nuevas implementaciones introduce nuevos aspectos de la nube.”

Se puede observar que es bastante amplio el campo de seguridad en la nube al hablar de 60 dominios involucrados. Lo que abre las puertas no solo a esta investigación sino muchas más que pueden ser llevadas a cabo a futuro.

Mthunzi, Benkhelifa, Bosakowski, Guegan, & Barhamgi (2020, p 622) también afirman:

“La computación en la nube está repleta de cambios, la mayoría discutibles en la existencia del resurgimiento de pre-nube (Chen, Paxson, & Katz, 2010). Lo que claramente ha cambiado en el ambiente, por ejemplo, la encriptación para protección de datos y seguro de integridad.”

Como se observa la computación en la nube está llena de desafíos de seguridad, dentro de los cuales se podemos mencionar algunos: malware, ataques a los servicios web, pérdida de datos, inseguridad de interfaces y de APIs, jaqueo, privilegios de acceso de usuarios, etc.

3. PROPUESTA

Teniendo en cuenta la constante evolución de los sistemas informáticos en la web, puede deducirse la vital importancia que implica el poder establecer diversos medios para garantizar la seguridad, integridad y confidencialidad de la información dispuesta para los diferentes tipos de usuarios de los sistemas web.

Tomar como punto de partida el proyecto OWASP para apoyarse en la implementación de la seguridad en sistemas informáticos parece ser el punto más acertado. Según el último informe del OWASP Top 10, la vulnerabilidad de los sistemas web más aprovechada por los intrusos para llevar a cabo sus fraudes es la inyección SQL, la cual consiste en aprovechar una vulnerabilidad informática presente en el nivel de validación de entradas para infiltrar código y realizar operaciones sobre una base de datos.

Implementar correctamente un WAF puede suplir el problema según cada caso particular, no obstante, también se confiere gran importancia al diseño y la metodología empleados para desarrollar la aplicación web.

La siguiente vulnerabilidad más aprovechada por los intrusos es la pérdida de autenticación y gestión de sesiones; ésta hace referencia a las vulnerabilidades presentes cuando las contraseñas y los datos de inicio de sesión no son protegidos adecuadamente. Según OWASP, los intrusos aprovechan los cierres de sesión, el tiempo de desconexión, y la función de recordar contraseña para robar la información sensible incluyendo un script en la página web que se ejecuta en el momento en que el usuario accede a ella. Para prevenir esta vulnerabilidad, OWASP recomienda tener datos de inicio de sesión lo suficientemente fuertes, tanto el nombre de usuario, como la contraseña; y, además, siempre cerrar las sesiones, no las ventanas. Para reforzar las medidas de seguridad, OWASP presenta una serie de requisitos específicos, los cuales deben ser cumplidos al momento de diseñar e implementar los sistemas web, donde se detallan requerimientos de autenticación y gestión de sesiones, y recomendaciones a tener en cuenta para evitar las vulnerabilidades de XSS.

En tercer lugar, la vulnerabilidad más aprovechada por los intrusos es la exposición de los datos sensibles; conforme avanza la tecnología, la información toma mayor valor. Es deber del desarrollador de un sistema informático proteger los datos personales de los usuarios de manera idónea; ya sea la información almacenada, o en tránsito entre el cliente y el servidor, o entre servidores, lo cierto es que, estos datos deben estar cifrados, siempre. La OWASP recomienda, además, no utilizar algoritmos de cifrado obsoletos como SHA1 o MD5, y hacer uso siempre de protocolos seguros de cifrado fuerte. Además, OWASP realiza sugerencias en el diseño y método de desarrollo e implementación de los sistemas web: No almacenar datos sensibles innecesarios, clasificar la información procesada, almacenada y transmitida de acuerdo a su nivel de sensibilidad, y aplicar un control adecuado a cada nivel de clasificación.

La cuarta vulnerabilidad más aprovechada por los intrusos son las entidades externas XML, la cual consiste en atacar las aplicaciones web con fragmentos de código en metalenguaje XML, donde, si el atacante logra cargar o modificar un documento XML con contenido hostil, podría tener la capacidad de revelar archivos internos, escanear puertos LAN, y hasta realizar ataques DoS (denegación del servicio); una aplicación web será vulnerable si carga datos XML desde fuentes no confiables, o inserta datos no confiables en documentos XML. Para prevenir esta vulnerabilidad, es recomendable que el sistema web cargue datos menos complejos como JSON, mantener actualizadas las librerías XML que utilice la aplicación, actualizar la versión del protocolo SOAP a la versión 1.2 o superior, y, por supuesto, contar con un servicio WAF.

4. DISCUSIÓN

Debido a las circunstancias actuales del siglo XXI es necesario optar por procesos y procedimientos que sean más eficientes para salvaguardar la información que se almacena en la Nube, pero es necesario poder identificar siempre la necesidad de primera mano de cada cliente u organización debido a que en esta misma se puede maximizar los alcances de seguridad para poder asegurar los protocolos  eficientes de seguridad como la creación de usuarios o los accesos requeridos para acceder a la misma información.

Es de gran importancia que la seguridad de la computación en la nube siga creciendo en la actualidad para todo los individuales o compañías que hagan uso de esta, para lo que se deben realizar muchas capacitaciones primeramente para que la gente aprenda a disminuir los riesgos de primera mano. Ya que el ser humano es la primera fuente de error en materia de seguridad.

Logrando disminuir los errores generados humanamente del lado del cliente, si se debe proseguir con los estudios anteriormente mencionados, que se puede mejorar de la parte de los proveedores. Bien sabemos que hay algunas compañías que ofrecen estos servicios con mejores alternativas de seguridad que otras. Y la idea es que cada vez todo siga mejorando en materia de seguridad de la nube, pero es bastante difícil de que el riesgo de inseguridad llegue a 0%.

Mediante el uso de la nube cada día más se adoptan nuevas medidas acerca de los protocolos de seguridad si son o no eficientes en donde se determinan si es realmente seguro subir o guardar información en internet, no obstante los administradores de estos recursos invierten cada día más para que no haya afectaciones  de ningún tipo pero también resulta muy particular que a veces por no darle un uso adecuado como la creación de accesos por error o no predeterminar configuraciones para accesos seguros  a la Nube en este caso ocasionados por el cliente por eso es de suma importancias que siempre exista un monitoreo y auditoria de lo que se está haciendo.

5. CONCLUSIONES

 Los casos de estudio presentado, nos llevan a evaluar en nuestra vida cotidiana como estos pueden ser aplicados en nuestro diario vivir y en el entorno profesional. El cloud computing ha tomado una gran relevancia en la actualidad y se ha vuelto una necesidad en el ámbito laboral y de cómo han mejorado las actividades de los individuos, que cada día más se sustenta en el uso de aplicaciones alojadas en la nube.

Con la problemática planteada identificamos algunas ventajas que logran ser aplicadas con usuarios corporativos y usuarios finales en el uso de servicios que ofrecen empresas a través de la nube.

El cloud computing evidencia que tiene mucho potencial por ofrecer, y así mismo, de la mano, muchos procesos que mejorar a favor de la seguridad e integridad de la información.

El uso de servicios SaaS ha venido presentando un uso exponencial, que favorece tanto a las grandes, medianas y pequeñas empresas llegando a ofrecer a sus clientes alternativas de servicio cuyos costos favorecen las actividades y negocios.

Mediante la investigación de los protocolos de seguridad en la nube finalmente se puede deducir que existen muchas herramientas para blindar cada día mas los procesos para que sean factible el uso de la información por medio de servidores, teniendo en cuenta los requerimientos de cada cliente u o institución que la usa, para maximizar de esta manera la información

6. REFERENCIAS BIBLIOGRÁFICAS

Mthunzi, S. N., Benkhelifa, E., Bosakowski, T., Guegan, C. G., & Barhamgi, M. (2020). Cloud computing security taxonomy: From an atomistic to a holistic view. Future Generation Computer Systems, 107, 620-644. https://doi.org/10.1016/j.future.2019.11.013

Chonka, A., Xiang, Y., Zhou, W., & Bonti, A. (2011). Cloud security defence to protect cloud computing against HTTP-DoS and XML-DoS attacks. Journal of Network and Computer Applications, 34(4), 1097-1107. https://doi.org/10.1016/j.jnca.2010.06.004

Baars, T. & Spruit, M. (2012) Analysing the security risks of cloud adoption using

the SeCA model: A case study

Chen, Y. Paxson, V. & Katz, R.H. (2010) What’s New About Cloud Computing Security.

Rep. vol. 20, no. 2010, Universidad de California, Berkeley, pp. 2010–2015.

Velasco, Pablo. (2011). Metodología para la prevención de incidentes de seguridad críticos en aplicaciones Web mediante la adopción de escenarios seguros. Universidad Autónoma de Occidente. Cali, Colombia. Recuperado de: http://red.uao.edu.co/bitstream/10614/1429/1/TIS00560.pdf

Sun, P. (2020). Security and privacy protection in cloud computing: Discussions and challenges. Journal of Network and Computer Applications, 160, 102642. https://doi.org/10.1016/j.jnca.2020.102642