Administración Y Auditoría De Los Servicios Web. Uf1272. E-Book

Administración y auditoría de los servicios web. UF1272.

Autora: Beatriz Coronado García.

© EDITORIAL TUTOR FORMACIÓN

C/ San Millán, 7, bajo 10.

26004 Logroño (La Rioja)

Tlf. 610687276

Email: [email protected]

Web: https://tutorformacion.es   o  https://editorial.tutorformacion.es

Edición: noviembre 2024.

ISBN: 979-13-87566-12-8

Depósito legal: LR 1672-2024

Reservados todos los derechos de publicación en cualquier idioma.

Según el código penal vigente ninguna parte de este o cualquier otro libro puede ser reproducida, grabada en alguno de los sistemas de almacenamiento existentes o transmitida por cualquier procedimiento, ya sea electrónico, mecánico, reprográfico, magnético o cualquier otro, sin autorización previa y por escrito de D. Miguel Ángel Ladrón Jiménez; su contenido está protegido por la ley vigente que establece penas de prisión y/o multas a quienes intencionadamente reprodujeren o plagiaren, en todo o en parte, una obra literaria, artística o científica.

Foto de portada diseñada por FreePik.

Contenido

Introducción

Administración de contenidos del servidor Web

1.Procedimientos de actualización de contenidos.

1.1.FTP.

1.2.FTPS.

1.3.SFTP.

1.4.Introducción a sistemas de gestión de contenidos (CMS).

2.Organización de contenidos.

3.Control de versiones.

4.Técnicas de gestión de permisos.

4.1.Perfiles.

4.2.Grupos.

4.3.Roles.

5.Procedimientos de optimización del rendimiento del servidor Web.

5.1.Técnicas de optimización.

5.2.Parámetros de calidad de servicio y usabilidad.

5.3.Pruebas de optimización.

5.4.Simulación de generación de carga Web con herramientas específicas.

6.Servidores de estadísticas.

6.1.Estructura y campos de un fichero de log.

6.2.Concepto de sesión.

6.3.Mecanismos de seguimiento de sesiones.

6.4.Instalación de un analizador de logs sencillo

7.Normativa legal relacionada con la publicación de contenidos Web.

7.1.Salvaguarda de logs.

7.2.Regulación de protección de datos: RGPD y normativa local.

8.Prueba de autoevaluación.

Servidor de aplicaciones de servicios Web

1.Descripción de funciones y parámetros de configuración.

1.1.Parámetros recomendados según el escenario.

2.Procedimientos de implantación.

2.1.Comprobación de arranque, funcionamiento y parada.

2.2.Verificación de la instalación.

3.Análisis y elaboración de la documentación de operación.

4.Prueba de autoevaluación.

Acceso a sistemas gestores de bases de datos

1.Motores de base de datos de uso más frecuente en aplicaciones Web (ORACLE, SQL Server, mySQL).

1.1.Protocolos de acceso.

1.2.Modelos de seguridad (Por IP, por usuario contraseña, seguridad integrada, combinación de estas...)

2.Bibliotecas de acceso.

2.1.ODBC, JDBC, DSN-Less ODBC, OleDB.

2.2.Implantar módulos de acceso.

3.Mecanismos de comunicación en una arquitectura web en tres capas.

3.1.Protocolos de comunicación: REST, GraphQL y WebServices.

4.Verificación de la conexión a la base de datos.

5.Prueba de autoevaluación.

Descripción de arquitecturas distribuidas en múltiples servidores

1.Modelo de 3 capas.

2.Tolerancia a fallos.

3.Reparto de carga.

4.Almacenes de estado de sesión. (ASP.NET state service…).

5.Almacenes de caché. (Memcached…).

6.Servidores Proxy.

7.Prueba de autoevaluación.

Gestión de actualizaciones de servidores y aplicaciones

1.Entorno de desarrollo y preproducción.

2.Procedimientos de despliegue de actualizaciones.

3.Prueba de autoevaluación.

Auditoría y resolución de incidentes sobre servicios Web

1.Medición de la calidad del servicio prestada.

1.1.Parámetros de calidad.

1.2.Disponibilidad del servicio.

1.3.Acuerdos de prestación de Servicio (SLAs).

2.Gestión de vulnerabilidades en aplicaciones Web.

2.1.Herramientas de detección de vulnerabilidades en aplicaciones Web (P.e. Nikto).

3.Diagnóstico de incidentes en producción.

3.1.Monitorización.

3.2.Herramientas de medición del rendimiento (Contadores del sistema windows, apache mod_status...).

4.Técnicas de resolución de incidentes.

4.1.Medidas de contención. Workarounds.

4.2.Análisis causa - raíz.

4.3.Gestión proactiva de problemas.

5.Prueba de autoevaluación.

Resumen

Prueba de evaluación final

Introducción

Este manual está diseñado para proporcionar una visión completa y práctica sobre la administración y auditoría de los servicios web. A lo largo de este contenido, se explorarán los conceptos fundamentales y las herramientas necesarias para gestionar eficazmente la infraestructura web en entornos empresariales modernos. La guía está orientada a capacitar a los lectores en la implementación de estrategias de optimización del rendimiento, la gestión de permisos, la actualización de contenidos y la auditoría de los servicios web, garantizando así la eficiencia, seguridad y conformidad normativa en el ámbito empresarial.

Comenzaremos con una introducción a los procedimientos de actualización y administración de contenidos en servidores web. Se abordarán los métodos más utilizados, como SFTP y FTPS, así como las tendencias modernas, como los sistemas de gestión de contenidos (CMS) y arquitecturas sin servidor (headless CMS). Además, se analizará la organización de contenidos, el control de versiones y la gestión de permisos mediante perfiles, grupos y roles, elementos esenciales para mantener un entorno web bien estructurado y seguro.

En la siguiente sección, profundizaremos en los procedimientos de optimización del rendimiento de los servidores web. Se presentarán técnicas modernas para mejorar la calidad del servicio, pruebas de optimización y simulaciones de generación de carga utilizando herramientas especializadas. Asimismo, se examinará el papel de los servidores de estadísticas en el análisis del tráfico web, incluyendo el uso de herramientas modernas como Matomo o Google Analytics 4 para interpretar datos de logs y sesiones de usuario.

Seguidamente, se analizará la normativa legal relacionada con la administración de contenidos web. Se abordará el impacto del Reglamento General de Protección de Datos (RGPD) y otras normativas españolas, como la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD). En este apartado, se destacará la importancia de la salvaguarda de logs y el cumplimiento de las disposiciones legales aplicables al manejo de datos y registros.

En el capítulo dedicado a la gestión de servidores de aplicaciones web, se estudiarán las configuraciones óptimas según los distintos escenarios, así como los procedimientos de implantación, verificación y documentación. Esto permitirá a los lectores adquirir competencias para garantizar un despliegue robusto y eficiente de aplicaciones y servicios web en entornos empresariales.

Más adelante, se explorará el acceso a sistemas gestores de bases de datos, incluyendo motores como MySQL, PostgreSQL o sistemas NoSQL. Se explicará cómo implementar mecanismos de seguridad, configurar protocolos de acceso y utilizar bibliotecas como ODBC o JDBC. Además, se presentarán los mecanismos de comunicación en arquitecturas web modernas, como APIs RESTful y GraphQL, destacando su papel en la integración y escalabilidad de los servicios.

Posteriormente, se tratará la descripción de arquitecturas distribuidas en múltiples servidores. Se analizarán conceptos clave como el modelo de tres capas, la tolerancia a fallos, el reparto de carga, y el uso de almacenes de estado de sesión y caché. También se discutirá el uso de servidores proxy y otras tecnologías modernas para garantizar la alta disponibilidad y rendimiento de los servicios web.

La auditoría y resolución de incidentes también tendrán un papel destacado en este manual. Se proporcionará una guía sobre la medición de la calidad del servicio, la gestión de vulnerabilidades en aplicaciones web mediante herramientas como OWASP ZAP y la resolución de incidentes siguiendo metodologías avanzadas, como la gestión proactiva de problemas según estándares ITIL. Asimismo, se abordará la monitorización del rendimiento utilizando sistemas APM como Grafana o Prometheus.

Por último, se incluirá una sección dedicada a la gestión de actualizaciones en servidores y aplicaciones, enfatizando la importancia de entornos de preproducción y despliegues automatizados con herramientas modernas como Ansible o Terraform. Esto garantizará una integración continua y una transición fluida entre versiones de software.

Este manual busca proporcionar un conocimiento exhaustivo sobre la administración y auditoría de servicios web, combinando teoría y práctica para capacitar a los lectores en la gestión segura y eficiente de la infraestructura digital. A continuación, se presenta un glosario de términos clave relacionados con la administración y auditoría de servicios web, que facilitará la comprensión de los conceptos tratados en este documento:

Access Log: Registro detallado de todas las solicitudes realizadas a un servidor web.Acoplamiento: Nivel de interdependencia entre módulos o componentes de un sistema.Active Directory: Servicio de directorio desarrollado por Microsoft para la gestión de redes y usuarios.Ansible: Herramienta para la automatización de despliegues y gestión de servidores.Apache Bench: Herramienta para realizar pruebas de rendimiento en servidores web.Apache: Servidor web de código abierto ampliamente utilizado para alojar aplicaciones y sitios web.API (Application Programming Interface): Conjunto de definiciones y protocolos que permite la comunicación entre diferentes aplicaciones o servicios.Arquitectura de microservicios: Modelo de desarrollo de software basado en componentes pequeños y desacoplados.Arquitectura monolítica: Modelo tradicional en el que una aplicación es desarrollada como una única unidad.Auditoría de seguridad: Proceso de revisión sistemática de la seguridad en sistemas y aplicaciones.Autenticación multifactor (MFA): Sistema que utiliza múltiples métodos para verificar la identidad de un usuario.Back-end: Parte del software que gestiona la lógica, las bases de datos y el procesamiento del servidor.Backup incremental: Copia de seguridad que solo guarda los cambios realizados desde el último backup.Balanceador de carga: Dispositivo o software que distribuye el tráfico de red entre varios servidores para mejorar el rendimiento y la disponibilidad.Balanceo dinámico: Distribución de la carga de trabajo basada en la demanda en tiempo real.Banda ancha: Tipo de conexión a Internet que ofrece mayor velocidad y capacidad de transmisión de datos.Base de datos: Sistema que almacena y organiza información de manera estructurada para su consulta y gestión.Bastionado: Proceso de endurecimiento de la seguridad de un servidor o sistema.Benchmarking: Evaluación comparativa del rendimiento de sistemas o aplicaciones.Big Data: Conjunto de técnicas y tecnologías para procesar grandes volúmenes de datos.Caché: Almacenamiento temporal de datos para mejorar el rendimiento de un sistema.Cache-Control: Encabezado HTTP utilizado para especificar políticas de caché en navegadores y proxies.CDN (Content Delivery Network): Red de servidores distribuidos que entregan contenido web desde ubicaciones cercanas al usuario final.Certificado digital: Documento electrónico que autentica la identidad de una entidad en Internet.Cifrado de extremo a extremo: Método de comunicación en el que solo los extremos pueden leer los mensajes.Cluster de base de datos: Conjunto de servidores de bases de datos que trabajan juntos para mejorar el rendimiento y la disponibilidad.Cluster: Conjunto de servidores que trabajan como una única unidad para garantizar la alta disponibilidad y escalabilidad.CMS (Content Management System): Sistema de gestión de contenidos que facilita la creación, administración y publicación de contenido en sitios web.Compilación continua (CI): Técnica que automatiza la integración del código en un proyecto.Configuración de roles: Definición de permisos y responsabilidades asociadas a perfiles de usuario.Containerization: Método de virtualización que empaqueta aplicaciones y sus dependencias en contenedores.Control de acceso basado en atributos (ABAC): Modelo de control de acceso basado en políticas y atributos.Control de acceso basado en roles (RBAC): Modelo de control de acceso donde los permisos están asociados a roles.Control de versiones: Sistema que registra los cambios realizados en un archivo o conjunto de archivos para facilitar su gestión.Cookies: Pequeños archivos que los sitios web almacenan en el dispositivo del usuario para guardar preferencias o información de sesión.Core Web Vitals: Métricas clave de Google para evaluar la experiencia del usuario en sitios web.Criptografía: Técnica para proteger información mediante el cifrado.Cross-Origin Resource Sharing (CORS): Mecanismo para controlar el acceso a recursos entre dominios.CSR (Certificate Signing Request): Solicitud que contiene información para obtener un certificado digital.Cyber Kill Chain: Modelo utilizado para describir las etapas de un ataque cibernético.Despliegue continuo (CD): Práctica de lanzar versiones de software de forma automatizada.DevOps: Cultura que promueve la colaboración entre los equipos de desarrollo y operaciones.DNS (Domain Name System): Sistema que traduce nombres de dominio a direcciones IP.DNSSEC: Extensión de seguridad del sistema de nombres de dominio (DNS).Docker: Plataforma que permite la creación y gestión de contenedores para aplicaciones.Downtime: Periodo durante el cual un sistema no está operativo.Elasticidad: Capacidad de un sistema para ajustar sus recursos en función de la demanda.Escalabilidad horizontal: Incremento del rendimiento mediante la adición de más nodos al sistema.Escalabilidad vertical: Incremento del rendimiento mediante la mejora de los recursos de un nodo existente.Firewall: Sistema que controla y filtra el tráfico de red para proteger un sistema.FTP (File Transfer Protocol): Protocolo para transferir archivos entre un cliente y un servidor.FTPS: Variante segura del protocolo FTP que utiliza cifrado SSL/TLS.GDPR (General Data Protection Regulation): Reglamento europeo sobre protección de datos personales.Gestión de logs: Proceso de registro, almacenamiento y análisis de eventos en un sistema.Grafana: Herramienta de monitoreo y análisis de datos basada en paneles visuales.GZIP: Herramienta de compresión utilizada para reducir el tamaño de archivos transmitidos a través de HTTP.Headless CMS: Sistema de gestión de contenidos que separa el backend del frontend.HTML (HyperText Markup Language): Lenguaje estándar para la creación de páginas web.HTTP/2: Versión mejorada del protocolo HTTP que ofrece mayor eficiencia en la transmisión de datos.HTTPS: Extensión segura del protocolo HTTP que utiliza cifrado para proteger los datos transmitidos.IAM (Identity and Access Management): Gestión de identidades y accesos en un sistema.Identity Federation: Proceso que permite compartir identidades entre diferentes sistemas o dominios.Infraestructura como servicio (IaaS): Modelo en el que los recursos informáticos se ofrecen como un servicio.Integración continua (CI/CD): Proceso automatizado para integrar, probar y desplegar código.Inteligencia artificial (IA): Tecnología que permite a las máquinas simular procesos de inteligencia humana.Inyección SQL: Vulnerabilidad en la que un atacante manipula consultas SQL para acceder a datos no autorizados.IoT (Internet of Things): Red de dispositivos interconectados que pueden recopilar y compartir datos.IPSec: Protocolo para asegurar la comunicación a través de redes IP.JSON: Formato ligero de intercambio de datos utilizado comúnmente en APIs.Keylogger: Programa que registra las pulsaciones del teclado para capturar datos sensibles.Kubernetes: Plataforma para la orquestación de contenedores.LAMP: Acrónimo de Linux, Apache, MySQL y PHP, una pila de software para el desarrollo web.LDAP: Protocolo para acceder y mantener servicios de directorio distribuidos.Load Balancer as a Service (LBaaS): Servicio gestionado de balanceo de carga en la nube.Load Testing: Pruebas para medir cómo un sistema se comporta bajo carga específica.Logs rotativos: Mecanismo para archivar registros antiguos y gestionar el espacio de almacenamiento.Logs: Registros de eventos generados por sistemas y aplicaciones.LOPDGDD: Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales en España.Memcached: Sistema para el almacenamiento en caché distribuido en memoria.Middleware: Software que actúa como intermediario entre aplicaciones o componentes.Monitorización: Supervisión continua del estado y rendimiento de un sistema.MySQL: Sistema de gestión de bases de datos relacional.Nginx: Servidor web de alto rendimiento utilizado como proxy inverso y balanceador de carga.OAuth 2.0: Estándar para autorización que permite a los usuarios acceder a recursos sin compartir credenciales.OAuth: Protocolo de autorización para aplicaciones web y móviles.ODBC: Interfaz que permite conectar aplicaciones con bases de datos.OpenSSL: Biblioteca de herramientas para la implementación de protocolos SSL/TLS.Optimización de rendimiento: Técnicas para mejorar la velocidad y eficiencia de un sistema.Orquestación: Coordinación automática de tareas y procesos en sistemas distribuidos.OWASP Top 10: Lista de las principales vulnerabilidades de seguridad en aplicaciones web.Patrón MVC (Modelo-Vista-Controlador): Arquitectura de diseño utilizada en el desarrollo de software.Phishing: Técnica de ingeniería social utilizada para engañar a los usuarios y obtener información confidencial.PHP: Lenguaje de programación ampliamente utilizado para el desarrollo web.Ping: Herramienta de red para comprobar la conectividad entre dispositivos.PostgreSQL: Sistema de gestión de bases de datos relacional y orientado a objetos.