Con frecuencia acceden a este blog buscando términos como «Concepto de Autoridad» .

La definición a la que me suelo referir en ese artículo está vinculada a la temática general de este blog y por eso insiste en la visión desde el ámbito de la Firma Electrónica (en el que se suele usar el término «Autoridad de Certificación«) y más ampliamente al significado jurídico. Aquí merece la pena echarle un vistazo a la palabra «Potestad»

Sin embargo, el término, procedente del latín Auctoritas, tiene más acepciones, según consultamos el diccionario de la RAE:

1. Poder que gobierna o ejerce el mando, de hecho o de derecho.
2. Potestad, facultad, legitimidad.
3. Prestigio y crédito que se reconoce a una persona o institución por su legitimidad o por su calidad y competencia en alguna materia.
4. Persona que ejerce o posee cualquier clase de autoridad.
5.  Solemnidad, aparato.
6. Texto, expresión o conjunto de expresiones de un libro o escrito, que se citan o alegan en apoyo de lo que se dice.

Al revisar el post mencionado, me he dado cuenta de que un enlace que apuntaba a un artículo mío (un tanto anticuado ya) en el web de AUI ha dejado de funcionar tras el diseño del portal de la Asociación de Usuarios de Internet.

He cambiado el enlace para apuntar a un versión del artículo en la Máquina de Tiempo (Wayback Machine) pero el tema de los acentos lo hace un poco difícil de leer.

Así que he decidido transcribir el artículo aun sabiendo que está desactualizado (de hecho ya ni siquiera funciona el enlace a FESTE).

Estas cosas se escribían en 1999.

Como conectar un servidor de forma segura a Internet

Julián Inza.
Director-Gerente de la Fundación para el Estudio de la Seguridad de las Telecomunicaciones (FESTE)
jinza@feste.org
http://www.feste.org

Introducción

La Seguridad preocupa a las entidades que se conectan a Internet, probablemente más que a las que se conectan a cualquier otra red.

Es una paradoja que la red que más información proporciona sobre seguridad sea la que más recelos despierta entre los usuarios. A ello ha contribuido, sin duda, la espectacularidad de los titulares en los medios de comunicación que amplifican cualquier noticia que tenga que ver con la red de redes.

Verdaderamente, la Seguridad (denominación que se refiere a una disciplina amplísima que abarca los sistemas de protección física, la prevención de accidentes, o la prevención de actividades desleales por parte de los empleados), no es una función nueva de la empresa, ni una necesidad sobrevenida por el uso de Redes Telemáticas, pero sí es cierto que recientemente merece mayor atención por parte de los administradores.

Desde un punto de vista metodológico, conviene analizar la Seguridad en la Empresa, comenzando por la Valoración de Activos a proteger, y continuando con un inventario de los riesgos existentes y una valoración de la probabilidad o la frecuencia de que se produzcan las situaciones de riesgo. Por ultimo es necesario cuantificar el coste de que se produzca la situación de riesgo, el coste de corregir sus efectos, y el de prevenirla. El conjunto de medidas propuestas, uno de los resultados de ese esfuerzo de análisis, no debe tener un coste superior a la restitución de lo que se quiere proteger.

Aunque, ciertamente, en ocasiones la propia valoración es uno de las actividades más difíciles: ¿cómo valora una entidad financiera el hecho de que un hacker manipule el contenido de su servidor web, incluso aunque no haya tenido acceso a ninguna información sensible de la entidad?

Por todo lo dicho, cabe ya pensar que la conexión segura de un servidor a Internet no debería ser analizada de forma independiente de otras necesidades de Seguridad de la empresa. No obstante, sí que es cierto que en ese caso, el trabajo nos lo facilita la propia red, ya que es fácil de encontrar un inventario de los riesgos existentes, y de las medidas a implantar para minimizar sus efectos.

Desde el punto de vista de las Redes de Comunicaciones, se puede plantear la protección de la empresa cuidando el propio trófico de comunicaciones (con el uso de protocolos y algoritmos criptográficos) o impidiendo que un usuario externo no autorizado tenga acceso a los recursos informáticos de la entidad. En este ultimo caso, las instalaciones pueden protegerse activando una a una todas las características de seguridad de los equipos que están en ellas.

Este planteamiento, denominado de «defensa en profundidad» exige un control riguroso de todos los equipos y tiene el riesgo de que se produzcan olvidos o descuidos. Por ese motivo, normalmente se opta por la «defensa perimetral», en la que se exige que exista una sola vía de interconexión entre la red interna y la Internet, sobre la cual se despliegan todos los controles posibles. Sobre ese punto de tránsito obligado se instala el «Firewall» («Muro Cortafuegos»), que es un equipo con características combinadas de enrutador, pasarela de protocolos, control de virus, y verificador de riesgos en las comunicaciones.

Cuando existen criterios rigurosos sobre la Seguridad de los Sistemas de Información en la empresa y se deben combinar con las exigencias de disponer para los procesos de negocio de la funcionalidad de Internet, es preciso combinar una correcta Política de Seguridad, con una no menos correcta implantación del Cortafuegos.

Además, si existen servidores que ofrecen servicios hacia el exterior (web, correo electrónico,…) es preciso verificar que el software utilizado (software de servidor, parches de seguridad, scripts, programas complementario) es seguro y se comporta de una forma estable. Y esta verificación debe realizarse con cierta periodicidad.

Tras la entrada en producción de un sistema informático conectado a Internet, es conveniente realizar una verificación de que cumple todos los parámetros de seguridad exigibles, para lo que puede utilizarse una herramienta de chequeo de seguridad tal como Internet Scanner SAFEsuite.

Cuando, además, se desea proporcionar características de seguridad a las transacciones (páginas Web, correo electrónico,…), es preciso activar las características de cifrado el software involucrado, lo que requiere recurrir a una Entidad de Certificación.

Entidad de Certificación

Los sistemas seguros de correo electrónico y servidores web emplean protocolos especiales que hacen uso de algoritmos de cifrado de clave pública, lo que da lugar a la firma electrónica y a que se satisfagan las funciones de seguridad de Confidencialidad, Integridad, Autenticación de Origen, Irrefutabilidad de Origen, Autenticación de Destino, Irrefutabilidad de Recepción, Temporalidad, Acreditación y otras.

De forma sencilla, la Entidad de Certificación es un servidor de credenciales, que garantiza que cada usuario es quien dice ser, y que pueden utilizarse sin restricciones elementos criptográficos que garantizan la confidencialidad.

Algunos de los protocolos utilizados son SSL (Secure Sockets Layer), PEM (Private Enhanced Mail) y S/MIME (Secure/Multipurpose Internet Mail Extension), ya soportados por un buen número de programas visualizadores y de programas de correo. Para el buen funcionamiento de estos sistemas, es necesario contar con un procedimiento que permita verificar fehacientemente la identidad de los usuarios y de otorgar un certificado electrónico que vincula los datos de los usuarios con su clave pública.

En el caso de FESTE, son los Corredores de Comercio y los Notarios los encargados de verificar la identidad de las Entidades en las que se instalan los equipos (en el caso de los servidores), o de las personas que intercambian correo seguro (en el caso de browsers, o programas de correo)

Cuando un participante comunica a otro su certificado, indica la Entidad de Certificación utilizada. La llave pública de la Entidad de Certificación debe ser conocida por todos y es la única que necesita ser conocida previamente. Habitualmente está incorporada al software de realización y verificación de firmas electrónicas, o es posible obtenerla a partir de sistemas de difusión públicos, tales como servidores Web. En el caso de FESTE, la clave pública de la Entidad de Certificación para certificados «Nivel 2» de «Entidades Cualificadas» se puede obtener en la dirección http://www.FESTE.com/cacert/certwebcualif.nivel2/FESTE-qicl2.der.cacert

La Entidad de Certificación debe ser una Entidad de Confianza (Trusted Third Party), Conocida ampliamente, cuya Política de Certificación incluya cláusulas aceptables por los diferentes interlocutores, que permita, entre otras cosas, la Verificación de identidad, que da información sobre Uso y validez de los certificados y que realice Gestión de certificados revocados (para impedir que claves privadas expuestas puedan tener vigencia) y ofrezca la Lista de certificados expedidos

Dado que en una red existe más de una Entidad de Certificación, la selección de las autoridades de certificación adecuadas para cada uso vendrá dada por las características de su Política de Certificación, o por la el reconocimiento de alguna de ellas por parte de entidades que aceptan sus certificados. Se están desarrollando sistemas jerárquicos en los cuales todas las autoridades de certificación que pertenezcan a una jerarquía dada puedan realizar certificaciones mutuas.

Los parámetros que definen a una Entidad de Certificación son su dirección de red (nombre distinguido, por ejemplo http://www.FESTE.com) y su clave pública. Además es necesario especificar en su identificación: Entidad Emisora del Certificado, Departamento u Organización responsable de la custodia de la clave privada y Ubicación (Ciudad, País).

Entidad de Registro

Puesto que al realizar la comprobación de la identidad del usuario en la primera certificación es necesario realizar unas actividades especiales, la Entidad de Certificación lleva asociada una Entidad de Registro.

Esta Entidad de Registro mantiene información sobre los aspectos relevantes del registro y sobre los procedimientos de identificación utilizados, asó como la vinculación del registro con la identidad que garantiza la Entidad de Certificación.

Además de este tipo de Entidades de Registro, existen otras, que demuestran la realización en el tiempo de determinados Actos Electrónicos: Certificaciones en presencia de un fedatario (como en el caso de contratos firmados ante notario), Certificaciones de Acreditación respecto a la capacidad suficiente para obrar o para representar a terceros, Registro de contratos o transmisiones patrimoniales.

Algunas de estas entidades tienen actividades independientes y adicionales a las de las autoridades de certificación, que se centran en la Autenticación de los Intervinientes y las funciones derivadas.

FESTE distingue dos tipos de Entidades de Registro: Entidades con capacidad contrastada de verificación de identidad de sus propios clientes o empleados (entidades financieras, proveedores de Internet, …), con capacidad de activar la emisión de certificados de Nivel 1 (Certificados Registrados), o Fedatarios, con la misión de verificar de forma incuestionable la identidad y capacidad de actuar de cualquier solicitante, y con capacidad de activar la emisión de certificados de Nivel 2 (Certificados Autenticados). Existen también los certificados de Nivel 0, destinados a pruebas.

Instalación de los Certificados

Una vez que se ha decidido activar el modo seguro de los servidores web, es preciso generar la pareja de claves que constituye el componente criptográfico básico del protocolo SSL, basado en criptografía de clave pública.

El procedimiento consiste básicamente en tres pasos:

• Generación de la solicitud,
• Acreditación ante la Entidad de Registro
• Obtención del Certificado e instalación

Para generar la solicitud, debe ejecutarse la opción correspondiente del software servidor (algunos de los que disponen modo seguro son FasTrack de Netscape, Internet Information Server de Microsoft, Secure Server de Oracle, o el popular Apache el más instalado sobre plataformas Linux), el cual influirá en los pasos concretos a seguir.

Estos pasos deben permitir generar las claves criptográficas, rellenar un formulario con los datos que formarán parte del certificado, obtener la solicitud en un formato compatible (DER o PEM) y enviarlo por correo electrónico a la Entidad de Certificación.

En algunos casos, como por ejemplo, con Microsoft Internet Information Server, es preciso obtener previamente el certificado de la Entidad de Certificación (en formato DER), lo que debe llevarse a cabo mediante Microsoft Internet Explorer, puesto que comparten la estructura de datos de almacenamiento de certificados. Existe una pequeña diferencia en caso de utilizar IIS 4.0, ya que para activar los Certificados del Explorer en el Server, existe una utilidad denominada IISCA en el directorio win\System32\InetSrv.

Tras enviar la solicitud de certificado a la Entidad de Certificación, debe procederse al registro. El Registro consiste en verificar la identidad del solicitante, comprobando la adecuada cumplimentación de los datos del formulario. En el caso de FESTE, la Entidad de Registro puede ser cualquiera de los Notarios o Corredores de Comercio españoles, lo que proporciona un elevado nivel de reconocimiento.

Cuando la Entidad de Registro comprueba los datos, permite que la Entidad de Certificación genere el certificado y lo envíe por correo electrónico. En ocasiones, la Entidad de Certificación proporciona un enlace al URL en el que se ha depositado, permitiendo la comunicación de información complementaria. Una vez en posesión del certificado, puede instalarse en el servidor, con lo queda listo para establecer comunicaciones seguras.

Certificados de Cliente

Si los requerimientos de seguridad exigen la autenticación del usuario (a través del Explorer o el Navigator), es preciso instalar certificados personales para cada uno de los usuarios que sea preciso autenticar.

Los pasos a seguir son, en esencia, los mismos que en el caso de servidores, aunque se activan de forma un poco diferente a la de aquellos. Habitualmente los servidores web de la Entidad de Certificación describen el proceso e incluyen las explicaciones y el software necesario para activar la generación de claves en el browser. En el caso de Explorer, se encargan de cargar las DLL correspondientes (CERTENR3.DLL en la versión 3.0 de MSIE y XENROLL.DLL en el IE 4.0) que hacen un poco más complicado el proceso de solicitud de certificado.

Una vez generada, sobre el web, la solicitud de certificado, hay que acudir a la Entidad de Registro (Corredor de Comercio o Notario) para que compruebe la veracidad de los datos y autorice la generación de certificado.

La Entidad de Certificación enviará un correo electrónico indicando la disponibilidad del certificado que podrá obtenerse a través del propio servidor web.

La ventaja de los certificados de cliente es que pueden ser utilizados tanto para autenticación de usuarios, cuando están accediendo a un servidor web, como para cifrar y firmar correo electrónico, apoyados en la codificación S/MIME (extensiones de seguridad de Correo Electrónico).

Conclusiones

La seguridad debe contemplarse desde una óptica global, aunque lo que pueda parecer más preocupante sea el riesgo derivado de la conexión a Internet.

Para cubrir este tipo de riesgo, es necesaria una adecuada protección perimetral, y una adecuada configuración de los equipos servidores.

Por ultimo, para que las comunicaciones viajen protegidas por algoritmos criptográficos, es preciso instalar software servidor equipado con SSL, y preparar los Certificados que lo habilitan con una Entidad de Certificación adecuada.