Protección de los datos a direfentes niveles

Los distintos niveles donde se puede aplicar la protección de los datos son los siguientes:

• Aplicación: a este nivel, la aplicación actual realiza el cifrado u otra función de criptográfica. Esto es lo más deseable, pero puede dar lugar a más presión adicional en recursos y crear una complejidad inmanejable. El cifrado debería realizarse típicamente a través de una API tal como el kit de herramientas OpenSSL (www.openssl.com) o a través de funciones de cifrado proporcionadas por el sistema operativo.

• Protocolo: en esta capa, el protocolo proporciona el servicio de cifrado. Más comúnmente, esto se ve con HTTPS, usando cifrado SSL para proteger tráfico Web sensible. La aplicación ya no necesita implementar conectividad segura. Sin embargo, esto no significa que la aplicación se libere de ello. SSL requiere una atención especial cuando se usa en autenticación mutua (en la parte cliente), existen dos claves de sesión diferentes, una para cada dirección. Debería verificarse cada una antes de transmitir datos sensibles. Los atacantes pueden beneficiarse del uso de SSL para ocultar peticiones maliciosas ( ataques de inyección por ejemplo).

• Red: por debajo de la capa de protocolo, podemos usar tecnologías tales como Redes Privadas Virtuales (VPN) para proteger los datos. Esto tiene muchas posibilidades, siendo la más popular IPsec (Seguridad del Protocolo de Internet v6), típicamente implementado como un ‘túnel’ protegido entre dos routers gateway. Ni la aplicación ni el protocolo necesita disponer de cifrado , todo el tráfico es interceptado independientemente.