Seguridad en la Plataforma Web Server IBM WebSphere

Document Sample
Seguridad en la Plataforma Web Server IBM WebSphere Powered By Docstoc
					Nombre: Oscar Chavez, Alejandro Perea, Paola Puerto, Daniel
Gonzalez



Sin SEGURIDAD EN LA PLATAFORMA WEB SERVER IBM WEBSPHERE


1.    Aspectos generales y requerimientos de Seguridad de una
      plataforma Web Server en genera

HISTORIA

Entre los primeros servidores de paginas Web creados esta Apache, el cual
apareció en febrero de 1995 como proyecto de desarrollo Apache basado en el
servidor Apache HTTPD de la aplicación original NCSA, Apache era una
colección de parches aplacados a NCSA, después de un tiempo Robert Thau
lazó una reimplementación completa e incluida el API para los módulos, en
1996 apareció la versión Apache 1.0 que incluida la carga de módulos en
tiempo de ejecución, dos meses después salio la versión 1.1 el cual ya incluía
módulos de autenticación contra bases de datos como MySQL, en 1997 aparece
Apache 1.3 para Windows NT, en 1998 la IBM decidió hacer uso de Apache
como motor de su producto WebSphere y no hacer uso de un servidor HTTP. A
lo largo del tiempo Apache fue evolucionando para convertirse en lo que es
hoy en una de las plataformas más usada. Apache HTTP contiene un modelo
modular, apache cuenta con un núcleo de sistemas con funcionalidades básicas
y las funciones adicionales están contenidas en los demás módulos.
Debido a la gran demanda de servidores para páginas web, se fue
desarrollando funcionalidades especiales que les permitiera desarrollar a los
Web Server aplicaciones de servidor.


Aspectos Generales Web Server

Partiendo de que un servidor web es un tipo de software que suministran
páginas Web a los navegadores (como por ejemplo, Netscape Navigator,
Internet Explorer de Microsoft) que lo solicitan. En términos más técnicos, los
servidores Web soportan el Protocolo de Transferencia de Hypertexto conocido
como HTTP (HyperText Transfer Protocol), el estándar de Internet para
comunicaciones Web. Usando HTTP, un servidor Web envía páginas Web en
HTML y CGI, así como otros tipos de scripts a los navegadores o browsers
cuando éstos lo requieren. Cuando un usuario hace clic sobre un enlace (link) a
una página Web, se envía una solicitud al servidor Web para localizar los datos
nombrados por ese enlace. El servidor Web recibe esta solicitud y suministra los
datos que le han sido solicitados (una página HTML, un script interactivo, una
página Web generada dinámicamente desde una base de datos,...) o bien
devuelve un mensaje de error.
Seguridad
La seguridad en redes de telecomunicaciones está fundamentada en tres
elementos:
•       La Integridad.- Se refiere a que el contenido y el significado de la
información no se altere al viajar por una red, no obstante el número y tipo de
equipos que se encuentren involucrados; la infraestructura utilizada debe ser
transparente para el usuario.
•       La Confiabilidad.- Implica que el servicio debe estar disponible en todo
momento.
•       La Confidencialidad.- Es quizá la parte más estratégica del negocio, ya
que contribuye a impedir que personas no autorizadas lean y conozcan la
información que se transmite.
La verdadera seguridad de un sistema va más allá de la instalación de la
actualización más reciente, la configuración de un cierto fichero, o la cuidadosa
administración del acceso de los usuarios a los recursos de sistema. Es una
manera de ver las diferentes amenazas que acechan su sistema y lo que se
está dispuesto a hacer para evitarlas.
Ningún sistema es totalmente seguro a menos que esté apagado (y aún así, es
posible que se lo roben). Cada vez que el sistema esté encendido puede ser
atacado, desde una broma inocua a un virus capaz de destruir el hardware, a la
posibilidad que los datos sean borrados. Pero no todo está perdido. Con una
actitud apropiada además de algunas buenas herramientas, se puede gozar de
un sistema sano sin problemas de seguridad.
El Dilema De Seguridad Inevitable
Todo usuario de cualquier sistema operativo se enfrenta a un dilema en común
al construir un paradigma de seguridad para su sistema. Por un lado, intenta
evitar hacer el sistema tan seguro que nada en él funcionará correctamente.
Pero por otro lado, también trata de evitar dejar el sistema tan inseguro que
cualquiera podría (y lo haría seguramente) hacerle lo que se le antoje, incluido
borrar el trabajo de otros o cosas peores. No existe una manera exacta para
resolver este dilema. Algunos sistemas, ya sea por la naturaleza de su utilidad o
la importancia de los datos que protegen, caen por un lado del dilema mientras
que otros sistemas, ya sea por la amplia variedad de usuarios que los utilizan o
el hecho de ser máquinas de prueba, caen por el otro lado.
Enfoque Activo Contra Pasivo
Los enfoques relativos a la seguridad se pueden siempre separar en dos tipos
diferentes: activo o pasivo. Un enfoque activo hacia la seguridad cubre todas
las actividades ideadas para prevenir que se abra una brecha en el modelo de
seguridad de su sistema. Un enfoque pasivo hacia la seguridad se refiere a las
actividades desempeñadas para supervisar la seguridad de su sistema
basándose en ese modelo de seguridad.

Seguridad De Redes
Si usa su sistema en una red (como una red de área local, red de área amplia o
Internet), deberá ser consciente de que su sistema estará a un nivel más alto
de riesgo que si no estuviese conectado a una. Además de atentados brutales a
los ficheros de contraseñas y usuarios sin acceso apropiado, la presencia de su
sistema en una red más grande aumenta la oportunidad de que ocurra un
problema de seguridad y la forma posible en que pueda ocurrir.
Posibles Problemas De Seguridad:
• Búsqueda entre los datos de autenticación — muchos métodos de
autenticación por defecto en los sistemas operativos dependen de enviarle su
información de autentificación "en abierto" donde su nombre de usuario y
contraseña se le envían por medio de la red en texto común o sin encriptar.
Existen herramientas a disposición para quienes tengan accesos a su red (o
Internet, si obtiene acceso a su sistema mientras la usa) para "husmear" o
detectar su contraseña grabando todos los datos transferidos por medio de la
red y examinarlos para encontrar declaraciones de inicios de sesión comunes.
Este método se puede usar para encontrar cualquier información enviada sin
encriptar, hasta su contraseña de root. Es esencial que utilice herramientas
(utilidades) para evitar que contraseñas y otros datos delicados se envíen sin
encriptación. Si por cualquier motivo no es posible utilizar estas herramientas
con su sistema, entonces asegúrese de no iniciar nunca sesiones como root a
menos que no esté presente delante de la máquina.
• Ataque frontal —ataques de denegación de servicio (DoS) y su tipo pueden
dañar hasta un sistema seguro inundándolo con peticiones inapropiadas o mal
formuladas que aplastarían su sistema o crearían procesos que pondrían en
peligro su sistema o sus datos, además de otros sistemas que comuniquen con
él. Existe una cantidad de protecciones diferentes a disposición para ayudar a
detener el ataque y minimizar el daño, como los firewalls que filtran los
paquetes. Sin embargo, los ataques frontales se encaran con una mirada
exhaustiva a la manera en que los sistemas no fiables se comunican con sus
sistemas fiables, erigiendo barreras protectoras entre los dos y desarrollando
una forma de reaccionar velozmente ante cualquier evento para que la
irrupción y los posibles daños sean limitados.
• Aprovechándose de un bug de seguridad o de un loophole (rendija)
— de vez en cuando se encuentran errores en el software que, si son
explotados, podrían causar graves daños a un sistema no protegido. Por este
motivo trate de ejecutar procedimientos desde el root lo menos posible. Use
todas las herramientas que estén a su disposición, como actualizaciones de
paquetes de Network y alertas de seguridad, para resolver problemas de
seguridad tan pronto como sean descubiertos. Por último, asegúrese que su
sistema no tenga programas innecesarios que inicien a la hora del arranque.
Mientras menos programas se ejecuten, menos probabilidades hay que un bug
o error de seguridad le afecte.
El Desarrollo De Políticas De Seguridad
Todo sistema, desde una máquina usada sólo por una persona a un servidor en
el ámbito empresarial utilizado por miles de usuarios, debería tener políticas de
seguridad. Las políticas de seguridad son un conjunto de pautas utilizadas para
medir si una determinada actividad o aplicación debiese o no ser desempeñada
o utilizada en un sistema, basándose en los particulares objetivos para ese
sistema.
Las políticas de seguridad entre sistemas diferentes pueden variar mucho, pero
lo más importante es que exista una para su sistema no importa si está escrita
en el manual de políticas de la empresa o simplemente se recuerda.
Criptografía
La Criptografía proporciona comunicaciones seguras en canales inseguros. Se
divide en Sistemas de Clave Secreta, donde el emisor y el receptor utilizan la
misma clave secreta; y Sistemas de Clave Pública donde cada usuario posee un
par de claves una secreta y otra pública. DES (Data Encryption Standard) es el
sistema de clave secreta más utilizado, desarrollado por IBM es un algoritmo de
cifrado-descifrado de bloques de 64 bits basado en permutaciones, mediante
una clave de 64 bits. RSA (Rivest, Shamir y Adleman) es el más extendido de
los sistemas de Clave Pública en el que la clave pública y la privada se
componen de un exponente y un módulo que es producto de dos números
primos grandes. Este modo de cifrado requiere de una identificación de usuario,
Firma Digital. Actualmente se han desarrollado otros sistemas más eficientes
como Gamal y Curvas Elípticas.
ISO define los siguientes Servicios de Seguridad en las Redes: 1.Autenticación
de Entidad Par; 2.Control de Acceso; 3.Confidencialidad de Datos; 4.Integridad
de Datos, 5.No Repudio, con Prueba de Origen y 6. No Repudio con Prueba de
Entrega.
Requieren incorporar en el Nivel apropiado del modelo OSI Mecanismos de
Seguridad:
Cifrado: técnicas criptográficas que se aplican extremo a extremo o a cada
enlace;
Firma Digital: conjunto de datos que se añaden a una unidad de Datos para
protegerlos contra la falsificación, utiliza el esquema criptográfico.
Se necesita realizar una autenticación a través de un Certificado firmado por la
Autoridad de Certificación válido durante un tiempo límite.


Firewalls
Estas entidades han proliferado debido a Internet. Limitan la exposición de la
red privada con el mundo exterior restringiendo accesos. Pueden monitorear
toda la actividad hacia la llamada red de redes de forma efectiva, además de
ayudar a mantener las políticas de seguridad, ya que son puntos centrales.
Cabe destacar que no protege contra malas intenciones de personas dentro de
la red privada, ni resguarda conexiones que no sean controladas por él y
tampoco contra virus.
Virus
Los virus informáticos son programas, generalmente destructivos, que se
introducen en la computadora (al leer un disco o acceder a una red informática)
y pueden provocar pérdida de la información (programas y datos) almacenada
en el disco duro. Existen programas antivirus que los reconocen y son capaces
de 'inmunizar' o eliminar el virus del ordenador.


Tecnologías de seguridad

    Firewalls
"Un firewall es un sistema o grupo de sistemas que establece una política de
control de acceso entre dos redes".
Tienen las siguientes propiedades:
   1. Todo el tráfico de adentro hacia afuera, y viceversa debe pasar a través
      de él.
   2. Sólo el tráfico autorizado, definido por la política de seguridad es
      autorizado para pasar por él.
   3. El sistema es realmente resistente a la penetración.

Tráfico en Internet
Cuando nos referimos a que todo el tráfico de adentro hacia afuera y viceversa,
debe pasar por un firewall, esto es respecto al protocolo TCP/IP. Para controlar
el tráfico de TCP/IP se debe tener una clara idea de cómo funciona el protocolo.

Un Protocolo es una descripción formal de cómo serán intercambiados los
mensajes y las reglas que deben seguir dos o más sistemas para transferirlos
de tal forma que ambos puedan entenderse.

TCP (Protocolo de transmisión de datos), divide los datos en partes, llamados
paquetes, y le da a cada uno un número. Estos paquetes pueden representar
texto, gráficas, sonido o vídeo; o cualquier elemento que la red pueda
transmitir. La secuencia de números ayuda a asegurar que los paquetes puedan
ser re ensamblados una vez recibidos. Entonces cada paquete consiste en
contenido, o datos, y la información que el protocolo necesita para hacerlo
funcionar, llamado protocolo encabezado.

Software
SPX
Es la arquitectura de seguridad desarrollada por Digital E. C. y propuesta para
su elección como estándar dentro de la iniciativa DCE del llamado "Grupo de
Gibraltar". Usa claves asimétricas RSA certificadas según la norma X.509
combinadas con el uso de DES como algoritmo de cifrado con claves de sesión.
Al igual que Kerberos dispone de un centro de autenticación ante el que se
identifican los usuarios (LEAF: Login Enrollment Agent Facility). El otro
componente básico es un Centro de Distribución de Certificados (CDC) que
gestiona un repositorio con los certificados de las claves públicas de clientes y
servidores.

El proceso de autenticación se basa en el uso inicial de una clave privada RSA
por parte del usuario que se autentica, esta clave se sustituye por una clave
temporal llamada clave de delegación disminuyendo la exposición de la clave
privada del usuario.
El uso de una jerarquía de certificados de clave pública permite solucionar los
problemas de escalabilidad que presenta Kerberos.

IPSec
Es una extensión del protocolo IP. Proporciona servicios criptográficos de
seguridad basados en estándares definidos por el IETF como control de acceso,
integridad, autenticación del origen de los datos, confidencialidad. Proporciona
encriptación y autenticación a nivel de red. Es transparente al usuario ya que
no se tienen que modificar los sistemas finales. Los paquetes tienen la misma
apariencia que un paquete IP corriente. Combina distintas tecnologías: Diffie
Hellman, encriptación clave pública, DES, funciones hash, certificados digitales,
entre otros.

Utiliza los Protocolos de seguridad:
    • AH (Authentication Header): Integridad y autenticación de origen
    (HMAC, MD5, SHA–1)
    • ESP (Encapsulating Security Payload): Confidencialidad (DES, 3DES, RC5,
    IDEA)
    • AH y ESP proporcionan control de acceso. Pueden ser aplicados solos o
    en combinación para proporcionar la seguridad deseada
    Dentro de Gestión de claves:
    • IKE (Internet Key Exchange): Establece la comunicación segura (Security
    Association y clave DH)
    Modos de funcionamiento
    • Modo transporte: es el host el que genera los paquetes. Solo se
    encriptan los datos, la cabecera intacta añade pocos bytes. Permite ver las
    direcciones de origen y de destino.
    • Modo túnel: uno de los extremos de la comunicación es un gateway. El
    paquete IP se encripta entero, para el sistema final el paquete es
    transparente

Firewalls internos
Alguien fuera de la empresa podría solicitar cierta información, pero no
necesariamente necesita accesar a toda la información interna. En estas
circunstancias, los firewalls juegan un papel importante forzando políticas de
control de acceso entre redes confiables protegidas y redes que no son
confiables.
En una WAN que debe ofrecer conexión de cualquier persona a cualquiera,
otras formas en el nivel de aplicación pueden ser implementadas para proteger
datos importantes. Sin embargo, separar las redes por medio de firewalls
reduce significativamente los riesgos del ataque de un hacker desde adentro,
esto es acceso no autorizado por usuarios autorizados. Agregando encriptación
a los servicios del firewall lo convierte en una conexión firewall a firewall muy
segura. Esto siempre permite redes grandes interconectadas por medio de
internet. Agregando autenticación se puede aumentar el nivel de seguridad. Por
ejemplo un vendedor que necesite ver la base de datos del inventario, tendrá
que comprobar que es él.

Servidores proxy
Un servidor proxy (algunas veces se hace referencia a él con el nombre de
"gateway" - puerta de comunicación - o "forwarder" - agente de transporte -),
es una aplicación que media en el tráfico que se produce entre una red
protegida e Internet. Los proxies se utilizan a menudo, como sustitutos de
routers controladores de tráfico, para prevenir el tráfico que pasa directamente
entre las redes. Muchos proxies contienen logins auxiliares y soportan la
autentificación de usuarios. Un proxy debe entender el protocolo de la
aplicación que está siendo usada, aunque también pueden implementar
protocolos específicos de seguridad (por ejemplo: un proxy FTP puede ser
configurado para permitir FTP entrante y bloquear FTP saliente). Los servidores
proxy, son aplicaciones específicas. Un conjunto muy conocido de servidores
proxy son los TIS Internet Firewall Toolkit "FWTK", que incluyen proxies para
Telnet, rlogin, FTP, X-Windows, http/Web, y NNTP/Usenet news. SOCKS es un
sistema proxy genérico que puede ser compilado en una aplicación cliente para
hacerla trabajar a través de un Firewall.

Hardware
Routers de Selección
Muchos routers comerciales proporcionan la capacidad de seleccionar paquetes
con base a criterios como el tipo de protocolo, los campos de dirección de
origen y dirección de destino para un tipo particular de protocolo y los campos
de control que son parte del protocolo. A esos routers se les llama routers de
selección. Estos pueden proporcionar un mecanismo poderoso para controlar el
tipo de tráfico de red que puede existir en cualquier segmento de una red. Al
controlar ese tipo de tráfico, los routers de selección pueden controlar el tipo de
servicios que pueden existir en un segmento de red. Por lo tanto, pueden
restringirse servicios que pueden poner en peligro la seguridad de la red.
Los routers de selección pueden discriminar entre el tráfico de red con base en
el tipo de protocolo y en los valores de los campos del protocolo en el paquete.
A la capacidad del router para discriminar entre paquetes y restringirlos en sus
puertos con base en criterios específicos de protocolo se le denomina filtración
de paquetes. Por esta razón, los routers de selección son llamados también
routers de filtración de paquetes. Fabricantes de routers como Cisco, Wellfleet,
3COM, digital, Newbridge, ACC y muchos otros proporcionan routers que
pueden programarse para desarrollar funciones de filtración de paquetes. La
filtración de paquetes se hace para restringir el tráfico de red para los servicios
que habrán de rechazarse.

Routers como Firewalls
El Router es un tipo especial de switch el cual realiza el trabajo de hacer las
conexiones externas y convertir el protocolo IP a protocolos de WAN y LAN. Los
paquetes de datos transmitidos hacia internet, desde un visualizador de una PC,
pasarán a través de numerosos ruteadores a lo largo del camino, cada uno de
los cuales toman la decisión de hacia donde dirigir el trabajo.
Los ruteadores toman sus decisiones basándose en tablas de datos y reglas,
por medio de filtros, así que, por ejemplo, sólo datos de una cierta dirección
pueden pasar a través del ruteador, esto transforma un ruteador que puede
filtrar paquetes en un dispositivo de control de acceso o firewall. Si el ruteador
puede generar un registro de accesos esto lo convierte en un valioso dispositivo
de seguridad.
Si el servidor de internet solicita información, o bien la suministra hacia
sistemas de bases de datos distribuidas, entonces esta conexión entre el
servidor y la estación de trabajo debería ser protegida.

Firewalls con Encriptación
Algunos firewalls proveen servicios de seguridad adicionales. Como encriptación
y desencriptación, ambas deben usar sistemas compatibles de encriptación.
Existen varios fabricantes que ofrecen dichos sistemas. Encriptación de firewall
a firewall es la forma que se usa en el Internet de hoy. Verificar la autenticidad
del usuario así como el sistema que esté usando también es importante, y los
firewalls pueden hacerlo, usando tarjetas inteligentes, fichas y otros métodos.
Las firewalls, pueden incluso proteger otras redes exteriores. Una compañía
puede aplicar las mismas restricciones de tráfico, mejorado con autenticación.

Técnicas de protección
Aplicación Gateway
Para contar algunas de las debilidades asociadas con el ruteador de filtrado de
paquetes, los desarrolladores han creado aplicaciones de software que
adelantan y filtran conexiones para servicios tal como telnet y ftp. Las
aplicaciones referidas son servidores proxy, también conocido como aplicación
gateway. Las máquinas host corriendo los servidores proxy se conocen como
firewalls de aplicación gateway. Trabajando junto, firewalls de aplicación
gateway y el ruteador de filtrado de paquetes pueden potencialmente dar más
altos niveles de seguridad y flexibilidad que una sola. Por ejemplo, considera un
sitio que bloquea todas las conexiones de gateway telnet y ftp que usan un
ruteador de filtrado de paquetes permite a los paquetes de telnet y ftp ir a un
host solamente. Un usuario quien desea conectarse a través del sistema debe
tener que conectar primero a la aplicación gateway, y entonces al host de
destino. Los firewalls de aplicación gateway únicamente permiten esos servicios
para cuales hay un proxy. En otras palabras, si un gateway de aplicación
contiene proxy para ftp y telnet, entonces solo ftp y telnet puede permitirse en
la subred protegida y todos los otros servicios son completamente bloqueados.
Para algunos sitios, este grado de seguridad es importante, como garantiza que
sólo los servicios considerados confiables se permiten mediante el firewall. Esto
también previene que otros servicios intrusos estén siendo implementados a
espaldas de los administradores del firewall.

Las aplicaciones gateway ofrecen un número de ventajas generales sobre el
modo default de permitir que la aplicación trafique directamente para hosts
internos. Estas ventajas incluyen:

•      Ocultamiento de la información. Los nombres de sistemas internos no
necesariamente necesitan ser conocidos por medio del DNS para los sistemas
externos, desde la aplicación gateway puede ser el host el único cuyo nombre
debe hacerse conocido afuera de los sistemas.
•      Robusta autenticación y registro. La gateway puede autentificar el tráfico
de la aplicación antes que este llegue a los hosts internos. El tránsito puede
entonces ser registrado más efectivamente que con el registro estándar del
host.
•      Costo - eficacia. La tercera parte de software o hardware para la
autenticación o registro necesario puede ser ubicada sólo en la aplicación
gateway.
•       Menos complejas las reglas de filtrado. Las reglas en el ruteador de
filtrado de paquetes serán menos complejas que aquellas que serían si el
ruteador necesitara el filtrar el tráfico de la aplicación y dirigir éste a un número
de sistemas específicos. El ruteador necesita solo permitir tráfico destinado para
la aplicación gateway y rechaza el resto.
El Monitoreo De Paquetes
Otro punto de vista que gana aceptación es la inspección de paquetes que no
sólo los filtra, esto es, considerar su contenido tanto como sus direcciones. Los
firewalls de este tipo emplean una inspección de módulos, aplicable a todos los
protocolos que comprenden los datos de los paquetes destinados desde el nivel
network (IP) hasta el nivel de aplicación. Esta estrategia puede proveer
seguridad sensitiva al contexto para complejas aplicaciones y puede ser más
efectiva que la tecnología que sólo tiene acceso a los datos en ciertos niveles.
Por ejemplo las aplicaciones gateway sólo acceden a los datos de nivel
aplicación, los ruteadores tienen acceso solamente a niveles bajos, el enfoque
de la inspección de paquetes integra toda la información reunida de todos los
niveles en un simple punto de inspección.

Algunos firewall de inspección también toman en cuenta el estado de la
conexión, por ejemplo, la legítima entrada de paquetes puede ser probada con
la petición de salida para ese paquete y se le permite entrar. Por el contrario,
un paquete de entrada se enmascara con su respuesta a una inexistente
petición de salida, este será bloqueado. Esto lleva el enfoque de tan llamado
estado (stateful) más allá del filtrado de paquetes. La inspección de módulos
usa previas comunicaciones para derivar el estado actual de la comunicación
que se está realizando. El filtrado inteligente puede efectivamente combinarse
con la habilidad del rastreo de la sesión de red. Para usar la información acerca
del inicio y fin de la sesión en la decisión de filtrado. Esto es conocido como
filtrando sesión (sesión filtering). Los filtros usan reglas inteligentes, así
aumenta el proceso de filtrado y controlando el rastreo de sesiones de la
network que controla los paquetes individuales.

Firewalls Híbridos
En la práctica, muchos de los firewalls comerciales de hoy usan una
combinación de estas técnicas. Por ejemplo, un producto que se originó como
un firewall filtrador de paquetes puede haber sido mejorado con filtrado
inteligente a nivel de aplicación. Las aplicaciones proxy en áreas establecidas
como ftp pueden agregar una inspección de filtrado en base a su esquema.
Nota: Agregando los métodos de seguridad no significa necesariamente un
aumento en la seguridad. Los mecanismos adicionales pueden aumentar,
disminuir, o dejar establecida la postura de seguridad del firewall.



2.     Arquitectura de IBM Websphere.

WebSphere y su familia de productos
Web Server Websphere es un servidor de aplicaciones ligero de tipo servidor de
aplicaciones J2EE basado en apache. WebSphere es un software para atender
necesidades de infraestructura de TI. Existen varios productos de la familia IBM
WebSphere los cuales se explicaran algunos a continuacion:

WebSphere Studio: es un ambiente de desarrollo proyectado a esntender todas
las necesidades de desarrollo de los usuarios, provee el servicio desde
interfaces Web a aplicativos del lado del servidor, sirve para desarrollo
individual y tambien es eficiente para ambientes avanzados. WebSphere Studio
permite que los desarroladores hagan uso de un ambiente unico de desarrollo
el cual esta proyectado para atender sus necesidades especificas. Esta
disponible para diferentes ambientes de desarrollo : desarrollo Web
(proporcionando herramientas y asitentes para simplificar las tareas), desarrollo
de aplicativos( aplicativos J2EE, ofrece ambiente compelto para la realizacion de
aplicativos Java), entre todas los aplicativos que permite desarrollar WebSphere
tambien esta el desarrollo para teléfonos móviles, PDAs, etc.

WebSphere Commerce: estos productos proveen soluciones para administrar
relaciones reales y procesos de negocio complejos, este software ayuda a
impulsar a la empresa hacia la generacion del e-commerce, ayudando a
aumentar las relaciones con los clientes, proveeores.

WebSphere Portal Server : este producto proporciona de interaccion con
informaciones dinamicas, aplicativos, procesos y personas y asi ayudar a la
cosntruccuo9n de sucesos en e-business to employee B2E, business to business
B2B, business to cosumer B2C,. tambien le permite a los usaurios interactuar
con el portal en cualquier momento, es un dispositivo cableado o inalambrico.

WebSphere Business Integrator: sirve para reducir el tiempo de, complejidad y
costos de implementación de soluciones de negocio. También es útil para
cambios de aplicativos y procesos y ayuda a administrar y ejecutar mejor los
procesos de negocio.

Websphere Application Server: ofrece funciones de e-business manipulación de
transacciones y ampliación de datos back-end del negocio y aplicaciones para
Web, esta plataforma ayuda a la construcción de aplicativos que ejecutan
funciones de e-business con seguridad, flexibilidad y escalabilidad.

Después de conocer un poco sobre los productos que ofrece la familia de
WebSphere hablaremos y explicaremos la arquitectura orientada a servicios
(SOA) sobre la que esta basado WebSphere.




Arquitectura WebSphere con sus componentes principales
El servidor de aplicaciones colabora con el servidor Web para devolverle la
petición del cliente, el código de aplicación incluye JSPs, Ejes, servlets y todas
sus clases están soportadas en el servidor de aplicaciones. La arquitectura de
WebSphere esta seguida de la arquitectura de J2EE, la cual esta arquitectura de
componentes esta basada en servlets, JSPs controlado en un contenedor Web y
los EJBs controlados en un contenedor de EJBs.

Esta arquitectura en la cual se basa WebSphere da la opción al usuario de
definir diferentes Servidores de Aplicación por lo que cada vez que se corre
se hace sobre la maquina virtual de java. Tambien se cuenta con un default
Server, el cual es configurado cuando falla algun servidor de aplicación, este
servidor al igual que los otros contiene un contenedor Web y un contendor de
EJBs. El servidor WebSphere trabaja con un servidor HTTP, es aquí donde
hace el manejo de las demandas de los servlets, el servidor HTTP se comunica
con el servidor de aplicación, su comunicación se efectúa por medio de un
archivo xml el cual especifica que servidor debe manejar la petición si el Web
(HTTP) o el servidor de aplicación. Dentro del servidor de aplicación hay un
Embedded HTTP Server, este servidor es útil para pruebas, pero no debe ser
usado en ambientes de producción por motivos de seguridad.

WebSphere utiliza Virtual Host este tipo de configuración le permite a la
aplicación apoyar varios procesos y servicios con configuraciones y
administradores separados haciendo que una sola maquina se vean como
múltiples. Cada Vistual Host cuenta con un DNS, numero de puerto que solicita
el servlet, cuando esta petición es hecha por el servlet el browser compara este
nombre con la lista de DNS conocidos y le da servicio al servlet si lo encuentra,
si no lo hace envía un mensaje de error ―Default Host‖.
El administrador de servicios es el responsable del tiempo de ejecución,
seguridad, coordinación de transacciones. Este servidor administrativo
proporciona a los administradores una sola vista de usos del sistema, como son
los recursos, JSPs, servlets, EJBS.

Servidor de Aplicación

El servidor   de   aplicación
define:

      Los middleware que
       puede usar
      Herramientas      de
       aplicación que puede
       usar
      Los     modelos   de
       programa para la
       aplicación




PLATAFORMA WEBSPHERE
Soporta java J2EE, servicios Web, y BPEL flows todos sobre una base de código
común.
WebSphere Process Server
    La lógica del negocio esta a cargo de los EJB
    El uso de la Web para browsers a cargo de JSPs y servlets
    Servicios Web a cargo de SOAP/HTTP
    BPEL Flows esta a cargo de procesos de labor humana
    La conectividad se realiza por medio del service bus

Web conteiner y EJB conteinder hace parte del servidor de aplicaciones


Service Oriented Architecture — SOA

La arquitectura SOA es un ciclo de vida orientado al negocio, su primera etapa
de la arquitectura es el modelado en donde se reúnen todos los requisitos del
negocio y se realiza el diseño de los procesos de negocio de la empresa u
organización.
La fase de Assemble, reunirse con los analistas de negocio y construir,
descubrir y probar los componentes. La fase de Deploy, esta fase de despliegue
se realiza la integración de la gente, procesos e información, en la fase de
Manage, es donde se supervisa el manejo de los recursos y servicios y métricas
del negocio. Y la fase que soporta toda la arquitectura SOA, Govermance &
Processes, es donde se establece el compartimiento y utilización de los
servicios, las políticas de decisión del negocio y medidas de control.




   3.      (Encajar esta arquitectura esta seguridad a la luz de las
           normas, especialmente ISO27000, ITIL y CoBIT).

        De las cosas mas importantes en las emperezas por no decir la mas
        importante es la seguridad.
        Por eso es de suma importancia establecer normas y recomendaciones
        para manejar esta seguridad y así minimizar el riesgo y la perdida de
        tiempo y maximizar la confianza y la efectividad.
        Garantizar un nivel de protección total es imposible incluso en el caso de
        disponer de un presupuesto ilimitado. El propósito de un sistema de
        gestión de la seguridad de la información es, por tanto, garantizar que
        los riesgos de la seguridad de la información son conocidos, asumidos,
        gestionados y minimizados por la organización de una forma
        documentada, sistemática, estructurada, repetible, eficiente y adaptada a
        los cambios que se produzcan en los riesgos, el entorno y las
        tecnologías.

        Ciertas normas como ISO 2700 y COBIT, y algunas recomendaciones
        como ITIL son las que nos permiten             establecer controles y
        procedimientos para considerar toda la información esencial que se debe
        proteger.
Vamos a ver en que consiste cada una de ellas:



ITIL
La Information Technology Infrastructure Library (‗Biblioteca de
Infraestructura de Tecnologías de Información‘), frecuentemente
abreviada ITIL, es un marco de trabajo de las mejores prácticas
destinadas a facilitar la entrega de servicios de tecnologías de la
información (TI) de alta calidad. ITIL resume un extenso conjunto de
procedimientos de gestión ideados para ayudar a las organizaciones a
lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos
son independientes del proveedor y han sido desarrollados para servir de
guía para que abarque toda infraestructura, desarrollo y operaciones de
TI.
Aunque el tema de Gestión de Servicios (Servicio de Soporte y Entrega
de Servicios) es el más ampliamente difundido e implementado, la
metodología ITIL provee un conjunto completo de prácticas que abarca
no sólo los procesos y requerimientos técnicos y operacionales, sino que
se relaciona con la gestión estratégica, la gestión de operaciones y la
gestión financiera de una organización moderna.
Los ocho libros de ITIL y sus temas son:
       Gestión de Servicios de TI
              1. Entrega de Servicios
              2. Servicio de Soporte
       Otras guías operativas
              3. Gestión de la infraestructura de TI
              4. Gestión de la seguridad
              5. Perspectiva de negocio
              6. Gestión de aplicaciones
              7. Gestión de activos de software
Para asistir en la implementación de prácticas ITIL, se publicó un libro
adicional con guías de implementación (principalmente de la Gestión de
Servicios):
              8. Planeando implementar la Gestión de Servicios
Adicional a los ocho libros originales, más recientemente se añadió una
guía con recomendaciones para departamentos de TIC más pequeños:
              9. Implementación de ITIL a pequeña escala

COBIT


El Objetivos de Control para la información y Tecnologías
relacionadas (COBIT) es un conjunto de mejores practicas para el
manejo de información creado por la Information Systems Audit and
Control Association (ISACA), y el IT Governance Institute (ITGI) en 1992.
Independientemente de la realidad tecnológica de cada caso concreto,
COBIT determina, con el respaldo de las principales normas técnicas
internacionales, un conjunto de mejores prácticas para la seguridad, la
calidad, la eficacia y la eficiencia en TI que son necesarias para alinear TI
con el negocio, identificar riesgos, entregar valor al negocio, gestionar
recursos y medir el desempeño, el cumplimiento de metas y el nivel de
madurez de los procesos de la organización.

COBIT maneja la siguiente estructura




ISO 27000
Es un conjunto de estándares desarrollados por ISO (International
Organization for Standardization) e IEC (International Electrotechnical
Commission), que proporcionan un marco de gestión de la seguridad de
la información utilizable por cualquier tipo de organización, este sistema
de gestión es el concepto sobre el que se construye ISO 27001. a cual
define el sistema de gestión de la seguridad de la información (SGSI)

La familia ISO 27000 pondrá a nuestra disposición, cuando los tengamos
todos, una serie documentos referentes a Gestión de Seguridad de la
Información, que nos proporcionará una buena herramienta para
gestionar este particular en el seno de las organizaciones. Tras todo el
tiempo esperando una familia internacional coherente que cubriera este
aspecto, vemos cómo además de que ya se ha materializado la
transición a ISO de determinados documentos, se está introduciendo aún
más si cabe la cultura de Gestión de Seguridad de la Información en
múltiples niveles.

Los principales Beneficios de ISO 2700 son:

• Establecimiento de una metodología de gestión de la seguridad clara y
estructurada.
     • Reducción del riesgo de pérdida, robo o corrupción de información.
     • Los clientes tienen acceso a la información a través medidas de
     seguridad.
     • Los riesgos y sus controles son continuamente revisados.
     • Confianza de clientes y socios estratégicos por la garantía de calidad y
     confidencialidad comercial.
     •      Las auditorías externas ayudan cíclicamente a identificar las
     debilidades del sistema y las áreas a mejorar.
     • El sistema se integra con otros sistemas de gestión (ISO9001,
     ISO14001, OHSAS…).
     • Continuidad de las operaciones necesarias de negocio tras incidentes
     de gravedad.
     • Conformidad con la legislación vigente sobre información personal,
     propiedad intelectual y otras.
     • Imagen de empresa a nivel internacional y elemento diferenciador de
     la competencia.
     • Proporciona confianza y reglas claras a las personas de la organización.
     • Reduce costes y mejora los procesos y servicio.
     • Aumenta la motivación y satisfacción del personal.
     • Seguridad garantizada en base a la gestión de procesos en vez de en la
     compra sistemática de productos y tecnologías.


     Referencias
     http://www.iso27000.es/sgsi.html
     http://es.wikipedia.or

4.   La amenazas específicas más protuberantes en la seguridad de
     los servidores IBM Websphere


                                                                     4. La amenazas específicas más protube
          1   MBSA se ejecuta en un intervalo regular para examinar las actualizaciones en busca del más recie
          2   los protocolos FTP, el SMTP, y los servicios de NNTP son desactivados si no son requeridos.
          3   NetBIOS y SMB estan desabilidtados (cerrar puertos 137, 138, 139, y 445).
          4   Las cuentas sin usar son retiradas del servidor.
          5   la cuenta de invitado debe ser desabilitada
          6   La cuenta del proceso de ASP.NET esta arreglada para privilegios mínimos.
              Entre al sistema con las credenciales mínimas. Entre al sistema a su computadora usando una cu
          7   administrador
          8   No descargue o opere programas de fuentes untrusteds. Los programas pueden contener instrucc
          9   Mantenga el vuris actualizado
         10   Restrinja los permisos de acceso de escritura para la cuenta de IUSR_computername. Esto ayuda
         11   Guarde archivos ejecutables en un directorio distinto. Esto lo hace más fácil asignar los permisos
         12   Cree un grupo para todas usuario cuentas anónimas. Usted puede negar los permisos de acceso