SERVIDOR WEB SEGURO-FIRMA DIGITAL

SERVIDOR WEB SEGURO-FIRMA DIGITAL

Un servidor web decimos que es seguro en el momento que se garantiza la autenticación y confidencialidad de la transmisión o comunicación, en el caso que se va exponer HTTP hace uso de un mecanismo de seguridad que mediante algoritmos matemáticos cifra la comunicación con el protocolo SSL (Contiene librerías para realizar los cálculos matemáticos para cifrar la transmisión) entre servidor y cliente (Navegador web).

El protocolo SSL trabaja conjuntamente con el protocolo HTTP creando un protocolo de transmisión de hipertexto seguro llamado HTTPS

HTTPS se basa en dos tipos de criptografía:
Criptografía simétrica o de clave compartida
Criptografía asimétrica o de clave publica/privada

hace uso de ambos tipos de criptografía para poder aprovechar las ventajas de cada uno de los tipos y descartar las desventajas de los mismos.

La Criptografía asimétrica para poder realizar el proceso de Autenticación al ser el proceso mas lento en cambio la simétrica es mas rápida para el cifrado pero no recomendable para la gestión de claves.

EMPEZEMOS CON LA FIRMA DIGITAL

La firma digital permite la confidencialidad de los datos y la identidad del firmante

1- El emisor cifra los datos con su clave privada genera el algoritmo hash mediante cifrado asimétrico.
2- El emisor cifra el hash mediante la clave publica del receptor, creando la firma digital
3- El emisor envía al usuario receptor los datos, la firma y el certificado digital de origen.
4- El receptor aplica el algoritmo hash a los datos recibidos y genera un valor hash.
5- El usuario destino utiliza la clave publica del usuario emisor (origen) y el valor hash obtenido para comprobar la firma.

de esta forma aseguramos la confidencialidad de los datos y como no su integridad, también garantiza la identidad del firmante

El certificado digital (DSR)  es el conjunto de caracteres añadidos a un documento que verifica el autor del documento(Autenticación)  y que los datos no se han modificado en el transcurso de la transmisión (Integridad), este certificado contiene la clave publica del usuario y algunos datos como dni, nombre, apellidos, etc.... firmados digitalmente por la CA(Autoridad Certificadora), de esta forma ninguna de las parte en su correspondiente situación ninguna de las partes podrá negar que es quien dice ser.

AUTENTICACIÓN EN APACHE-DIRECTORIO PROTEGIDO

Antes que nada debemos de saber que el servidor apache cuando recibe la petición de una pagina web, verifica si dicho petición esta autorizada.
Es decir realiza las siguientes comprobaciones:

1- AUTENTICACIÓN: Comprueba la identidad del usuario, quiere decir, que busca responder a ¿Es realmente quien dice ser?, el usuario facilita sus credenciales (user y pass), esta información debe de coincidir con la información almacenada en la base de datos del servidor web.

Existen dos métodos de Autenticación HTTP

* Básico o simple: Se introduce en el cliente (Navegador) las credenciales y se transmiten sin ningún tipo de cifrado al servidor.

* Digest: Se introduce en el cliente (Navegador) las credenciales y se transmiten cifradas al servidor.

2- AUTORIZACIÓN: Solo tendrán acceso los usuarios registrados en el servidor, dispone de una lista de usuarios para permitir el acceso a los recursos que ofrece.
En apache2 la autorización se  gestiona mediante directivas <Directory> en el archivo de configuración o mediante .htaccess.

3- CONTROL DE ACCESO: Establece y controla las maquinas que tiene acceso a un recurso, independientemente del usuario que accede.
El control de acceso se gestiona mediante las directivas <Directory> , <Files> y <Location> o mediante el archivo ".htaccess" para controlar un directorio completo.

bueno asta aquí todo correcto?
Pues empecemos con la autenticación básica de apache2

Vamos activar el modulo "auth_basic" accediendo a Servidores--->Configure apache modules

en su interior aparece la lista de modulos, habilitamos "auth_basic".....

aa continuación configuramos el directoio protegido mediante atenticacion accediendo a Protección de directorios web "Protected web Directories" como se muestra a continuación......

y completamos lo campos del directorio que deseamos proteger y seleccionamos crear

nos aseguramos que se ha creado la configuración del directorio en ".htaccess" con las siguientes líneas:

<Directory /var/www/Directorio a proteger/>
AllowOverride AuthConfig
</Directory>

a continuación permitiremos a un usuario el acceso al contenido protegido

rellenaremos los campos de configuración de usuario de la siguiente forma:

después de los cambios realizados aplicar

y comprobamos que la configuración se ha realizado correctamente accediendo en mi caso a la dirección servidor.aulaser.com/topsecret/ solictando la autenticación

introducimos las credenciales establecidas en los usuarios de Webmin

ya disponemos de un directorio protegido por Autenticación.