Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
AUTENTICACION DNI ELECTRONICO VENTAJAS DE LA VALIDACIN MEDIANTE DNI ELECTRONICO OCSP Y CLR
SEGUNDO DE ASIR
Pgina 1
Una vez hecho esto, nuestro Apache ser capaz de interpretar PHP y trabajar con MYSQL.
SEGUNDO DE ASIR
Pgina 2
INTRODUCCION CREANDO NUESTRA BASE DE DATOS Lo primero que hacemos es entrar como usuario en mysql, es decir nos identificamos. Creamos nuestra base de datos con el nombre que queramos como vamos a trabajar sobre un foro, lo ms lgico ser llamarla as
SEGUNDO DE ASIR
Pgina 3
CODIGO TABLA USUARIOS CREATE TABLE usuarios( email VARCHAR(150) NOT NULL PRIMARY KEY, password VARCHAR(150));
CODIGO TABLA TEMAS CREATE TABLE temas_foro( id_tema INT NOT NULL PRIMARY KEY AUTO_INCREMENT, titulo_tema VARCHAR(150), fecha_creacion DATETIME, email VARCHAR(150) NOT NULL, FOREIGN KEY (email) REFERENCES usuarios(email));
SEGUNDO DE ASIR
Pgina 4
OPCION PARA AADIR ARCHIVOS AL CONTESTAR A UN TEMA Alter table posts_foro add (file varchar(150));
TABLA SESIONES CREATE TABLE sesiones( id_sesion VARCHAR(500) NOT NULL PRIMARY KEY, email VARCHAR(150) NOT NULL, FOREIGN KEY (email) REFERENCES usuarios(email) ON DELETE CASCADE);
SEGUNDO DE ASIR
Pgina 5
PRIMERO: EXPORTAMOS Lo primero que hacemos es ir donde tenemos nuestra base de datos creada, la escogemos y pulsamos el botn de exportar.
Tenemos muchas opciones para exportar, desde formato (pdf,Excel)como tipo de codificacin. A nosotros nos interesa exportarlo a una base de datos, asique el formato va a ser SQL, es lo nico que nos interesa. Una vez hecho esto guardamos el archivo donde queramos.
SEGUNDO DE ASIR
Pgina 6
Introducimos una contrasea para que phpmyadmin se registre con el servidor, puede ser la misma que habamos dado antes.
SEGUNDO DE ASIR
Pgina 7
Despus de instalarlo hay que hacer un enlace simblico desde /usr/share/phpmyadmin hacia /var/www/phpmyadmin para que podamos acceder desde el navegador, sin ningn problema, lo hacemos con el siguiente comando: sudo ln -s /usr/share/phpmyadmin /var/www/
Una vez hecho esto, como podemos ver ya podramos acceder perfectamente desde el navegador a nuestro phpmyadmin recin instalado.
SEGUNDO DE ASIR
Pgina 8
SEGUNDO DE ASIR
Pgina 9
Una vez hemos hecho estos cambios, volvemos a intentar importar la base de datos y vemos que ahora el resultado es satisfactorio.
Y como vemos si miramos el contenido de nuestra base de datos podemos ver como los datos que tuviramos guardados se han importado correctamente.
SEGUNDO DE ASIR
Pgina 10
DESACTIVAMOS SITIO POR DEFECTO SSL Lo que tenemos que hacer, es desactivar el sitio por defecto SSL que habamos creado en la anterior prctica. Aunque tambin podramos modificarlo para adaptarlo. Pero es mejor crear un host virtual de cero para no liarnos con las directivas. sudo a2dissite default-ssl
SEGUNDO DE ASIR
Pgina 11
SEGUNDO DE ASIR
Pgina 13
http://www.dnielectronico.es/seccion_integradores/autoridades_cert.html
Como vemos se nos informa de cuales son las funciones hash sha1 y md5 del archivo, lo subimos como ya viene siendo habitual a virustotal y asi comprobar las fuentes del archivo que descargamos. Vemos que el archivo ya ha sido analizado, pues si vamos a implementar un sistema tan seguro, tendremos que comprobar que realmente es, lo que queremos instalar.
Comprobamos que el archivo est limpio y que tanto el hash MD5 como SHA1 coinciden con los valores que nos tiene que dar, en la imagen de arriba
SEGUNDO DE ASIR
Pgina 14
Como vemos una vez realizada la operacin tendremos el archivo que queremos y lo ponemos en la ruta donde guardamos los certificados que es la que hemos indicado en el archivo de configuracin en nuestro caso /etc/ssl/certs
INSTALAMOS EL MODULO CRIPTOGRFICO DEL DNIE EN LOS CLIENTES Una vez hecho esto, nos descargamos desde la pgina Web el modulo criptogrfico de el DNI electrnico. http://www.dnielectronico.es/descargas/index.html Seleccionamos la versin para nuestro sistema operativo. En cualquiera de los dos casos la instalacin se hace con doble click y siguiendo las instrucciones, las cuales son muy sencillas.
SEGUNDO DE ASIR
Pgina 15
SEGUNDO DE ASIR
Pgina 16
Nos dira, si queremos acceder al sitio WEB, ay que nuestro certificado no esta emitido por una entidad nos saldr el siguiente aviso y pulsamos en el botn de ir a este sitio web.
Como vemos accederamos a nuestro foro mediante certificacin con DNI electrnico
SEGUNDO DE ASIR
Pgina 17
SEGUNDO DE ASIR
Pgina 18
SEGUNDO DE ASIR
Pgina 19
CHROME
FIREFOX
SEGUNDO DE ASIR
Pgina 20
Gracias a esta autenticacin evitaremos los programas de anlisis de vulnerabilidades Web, pues no podrn acceder a nuestro servidor.
En el caso de que hicieran estos anlisis configurando nuevos programas sabremos quienes se autentican en nuestra WEB y que operaciones han realizado, pues su actividad estar vinculada al certificado y a si DNI.
Un atacante para acceder como otro usuario no solo necesitara el DNI fsico de esa persona sino tambin su PIN.
SEGUNDO DE ASIR
Pgina 21
OCSP Y CLR
Si quisiramos poner todo esto en marcha en una situacin real habr que tener en cuenta los mtodos de validacin ocsp o clr para myor seguridad todava ms? Si, es lo suyo. Pero no solo seguridad sino para la propia integridad Por ejemplo, si nosotros perdemos nuestro DNI, lo tendramos que dar de baja, para que dicho certificado dejara de ser valido. Pese a que el que lo tuviera necesitara nuestro pin, si por algn caso lo consiguiera, con una aplicacin como la que tenemos podra acceder. O mismamente si decimos que lo hemos perdido y nos lo quedamos podramos autenticarnos en esta aplicacin con el DNI antiguo y el antiguo PIN y con el DNI nuevo y el nuevo PIN. CLR Para evitar esto hay dos mtodos el clr hasta ahora el ms implementado, que consiste en bajarse la parte pblica de los certificados, de los DNIS que se han dado de baja. 1-Esto hace que el mantenimiento y la actualizacin en el servidor tenga que ser constante. 2-Mucho espacio en Disco.
OCSP Sin embargo la validacin OCSP se conecta a la base de datos del DNI electrnico y se hace la verificacin Online, de si ese DNI ha sido dado de baja o no y si no esta dado de baja procederamos a hacer la autenticacin como la hemos hecho en estos ejemplos. CMO SE ACTIVA? Validacin OCSP nativa de Apache Si utilizas una versin de Apache mayor o igual que 2.3.x no es necesario que hagas la Validacin OCSP del DNIe en PHP y Apache, ya que se puede hacer desde el fichero de configuracin. Para ello primero activamos la configuracin OCSP con la directiva: SSLOCSPEnable on Despus indicamos la URL SSLOCSPDefaultResponder http://ocsp.dnielectronico.es/
SEGUNDO DE ASIR
Pgina 22
Como podemos ver el estado del certificado al ejecutar el autentificador OCSP es vlido
SEGUNDO DE ASIR
Pgina 23