UNIVERSIDAD POLITCNICA SALESIANA SEDE CUENCA

FACULTAD DE INGENIERAS

CARRERA: INGENIERA EN SISTEMAS

Tesis previa a la obtencin del Ttulo de Ingeniero en Sistemas

ANALIZAR EL SISTEMA DE SEGURIDAD EN SERVIDORES WEB PARA SU CORRECTA UTILIZACIN

AUTORES:
Katherine Cantos Rivera Karla Carangui Vintimilla

DIRECTOR:
Ing. Vladmir Robles.

Cuenca, 15 de Febrero del 2007

Certifico que bajo mi direccin el proyecto de tesis fue realizado por:

Johanna Katherine Cantos R. Karla Johanna Carangui V.

.................................................. Ing. Vladmir Robles DIRECTOR DE TESIS

Los conceptos desarrollados, anlisis realizados y las conclusiones del

presente trabajo, son de exclusiva responsabilidad de las autoras

Cuenca, febrero 15 del 2007

Katherine Cantos Rivera.

Karla Carangui Vintimilla.

Dedicatorias

A ti Seor por ser mi compaero, ya que con tu bondad misericordiosa y amor me has sabido bendecir e iluminar durante toda mi vida. A mi madre, mil gracias mamita querida por su amor y por que siempre me inculco valores de responsabilidad, respeto y entrega, siempre estuvo ah apoyndome en todo, y esto me dio fuerzas para seguir adelante y as culminar con xito esta etapa importante en mi vida. A familiares y amigos que de una u otra forma estuvieron a mi lado dndome su apoyo y motivacin. Katherine Cantos Rivera

A Dios por haberme permitido llegar hasta este punto, el que me ha dado fortaleza y salud para continuar cuando he estado a punto de caer. A mis padres Marco y Marina quienes supieron hacer de m, una persona perseverante, por haberme dado su apoyo, sus consejos, su amor, durante todo este tiempo, sin ustedes jams hubiera conseguido culminar esta etapa de mi vida, gracias madre ma por haberme inculcado desde pequea el amor a los estudios y la responsabilidad para con ellos. A mi abuelita Luisa, quien siempre estuvo a mi lado brindndome el amor necesario y el ejemplo de constancia para salir adelante. De igual forma a mis hermanos Nataly y Marcos quienes con su paciencia, alegra e infinito amor supieron apoyarme y ser la compaa incondicional en los momentos oportunos. Karla Carangui Vintimilla

Agradecimiento

Nuestro agradecimiento primero al ser ms especial a ti Dios porque hiciste realidad este sueo, ya que con tu sabidura infinita, y con el amor con el que nos rodeas hemos podido culminar con xito nuestro proyecto.

Son muchas las personas especiales a las que nos gustara agradecer su apoyo, nimo y compaa en las diferentes etapas de nuestra vida universitaria. Sin importar en donde estn queremos darles las gracias por formar parte de nosotras.

A nuestros padres quienes con amor y sacrificio han sabido estar ah en nuestro duro caminar durante esta etapa de la vida.

Al Ing. Vladimir Robles mil gracias ya que a ms de ser nuestro tutor ha sido un gran amigo en quien hemos encontrado el apoyo y la confianza necesaria para culminacin exitosa de ste nuestro proyecto

INDICE

INTRODUCCION
CAPITULO 1
1. PROTOCOLO S.S.L 1.1. Introduccin 1.2. Estructura, caractersticas y funcionamiento 1.3. Implementacin del protocolo SSL en servidores Web apache 1.3.1. Windows 1.3.2. Linux 1.4. Implementacin del protocolo en servidores Web j2ee 1.4.1. Windows 1.4.2. Linux

9 9 9 13 13 15 21 21 23

CAPITULO 2
2. ALGORITMOS DE ENCRIPTACIN 2.1 Introduccin 2.2 Tipos de sistemas de encriptacin 2.3 Algoritmos de clave privada 2.3.1 Algoritmo DES 2.3.2 Algoritmo 3DES 2.3.3 Algoritmo SHA 2.3.4 Algoritmo MD5 2.4 Algoritmos de clave pblica 2.4.1 Algoritmo RSA 2.4.2 Algoritmo Diffie-Hellman 27 27 27 28 28 30 30 31 33 33 35

CAPITULO 3
3. JCE (JAVA CRYPTOGRAPHY EXTENSION) 3.1 Introduccin 3.2 Clases ms importantes 3.2.1 Clase Cipher 3.2.2 Clases de especificacin de encriptacin 3.2.3 Clase SealedObject 3.3 Manejo de las clases de encriptacin 37 37 37 37 39 40 40

CAPITULO 4
4. POLITICAS DE SEGURIDAD 4.1 Introduccin 4.2 Definicin y descripcin de las polticas de seguridad 4.2.1 Definiciones 4.2.2 Descripcin 4.3 Polticas de seguridad para servidores Web 43 43 43 43 44 46

CAPITULO 5

5. PRUEBAS DE SEGURIDAD SOBRE SERVIDORES WEB. 5.1 Introduccin 5.2 Herramientas de prueba 5.2.1 Metasploit 5.2.2 Nessus 5.3 Pruebas sobre servidores Apache 5.4 Pruebas sobre servidores Web. 5.5 Envo de datos cifrados a travs del A. P. I. JCE CONCLUSIONES RECOMENDACIONES BIBLIOGRAFIA ANEXOS GLOSARIO

49 49 49 49 49 50 54 58 64 66 67 71 71

INTRODUCCION

En la actualidad se conoce la importancia y la trascendencia que implica la creacin de una aplicacin Web segura; cuando una empresa, organizacin o individuo decide poner a disposicin de un grupo de usuarios informacin o servicios a travs de una red de comunicaciones son evidentes los mltiples riesgos que debe afrontar, esto es as porque un servicio puede tener vulnerabilidades que permitan que un atacante (Hacker) consiga acceder a informacin que no le pertenece. Por lo tanto se hace indiscutible la necesidad de implantar medidas de proteccin dirigidas a asegurar las aplicaciones finales ofrecidas a los clientes, procurando que las mismas carezcan de vulnerabilidades, que puedan ser aprovechadas de manera indebida por personas mal intencionadas. Es as que con el presente trabajo pretendemos identificar las principales tcnicas en relacin al anlisis del sistema de seguridad en servidores Web.