lunes, 6 de agosto de 2012

METODOS DE AUTENTICACION DE REDES

El proceso de dar un nombre de usuario y contraseña en IIS se el llama Autenticacion.

Autenticación anónima

La autenticación anónima proporciona a los usuarios acceso a las áreas públicas del sitio Web o FTP sin preguntar el nombre de usuario o la contraseña. Cuando un usuario intenta conectarse al sitio Web o FTP público, el servidor Web le asigna la cuenta de usuario de Windows llamada IUSR_nombre_equipo, donde nombre_equipo es el nombre del servidor en el que se ejecuta IIS. De manera predeterminada, la cuenta IUSR_nombre_equipo está incluida en el grupo de usuarios Invitados de Windows. Este grupo tiene restricciones de seguridad impuestas por los permisos NTFS, que designan el nivel de acceso y el tipo de contenido que hay a disposición de los usuarios públicos.



En el siguiente procedimiento se explica cómo utiliza IIS la cuenta IUSR_nombre_equipo:
  1. La cuenta IUSR_nombre_equipo se agrega al grupo Invitados del equipo IIS durante la instalación.
  2. Cuando se recibe una solicitud, IIS suplanta la cuenta IUSR_nombre_equipo antes de ejecutar cualquier código o de tener acceso a cualquier archivo. IIS puede suplantar la cuenta IUSR_nombre_equipo porque conoce el nombre de usuario y la contraseña de esta cuenta.
  3. Antes de devolver una página al cliente, IIS comprueba los permisos de archivos y directorios NTFS para determinar si la cuenta IUSR_nombre_equipo tiene acceso al archivo.
  4. Si está permitido el acceso, se completará la autenticación y los recursos estarán disponibles para el usuario.
  5. Si no está permitido el acceso, IIS intentará utilizar otro método de autenticación. Si no hay ninguno seleccionado, IIS devolverá al explorador un mensaje de error “HTTP 403 Acceso denegado”.

    Autenticación básica

    La autenticación básica es un método estándar muy extendido para recopilar información de nombre de usuario y contraseña.

    Proceso de autenticación de cliente

  6. El explorador Web Internet Explorer muestra un cuadro de diálogo en el que el usuario debe escribir su nombre de usuario y contraseña de Windows previamente asignados, que también se conocen como credenciales.
  7. El explorador Web intentará establecer la conexión con un servidor, mediante las credenciales del usuario. La contraseña de texto simple se codifica en Base64 antes de enviarla a través de la red.Importante   La codificación en Base64 no es un cifrado. Si una contraseña codificada en Base64 es interceptada en la red por un husmeador de redes, la contraseña puede ser descodificada y utilizada por personas no autorizadas.
  8. Si las credenciales de un usuario son rechazadas, Internet Explorer muestra una ventana de diálogo de autenticación para que el usuario vuelva a escribir sus credenciales. En Internet Explorer se permite al usuario tres intentos de conexión antes de informarle de que no se puede establecer la conexión.
  9. Cuando el servidor Web compruebe que el nombre de usuario y la contraseña corresponden a una cuenta de usuario válida de Microsoft Windows, se establecerá una conexión.

Autenticación de texto implícita

La autenticación de texto implícita ofrece la misma funcionalidad que la autenticación básica. Sin embargo, la autenticación de texto implícita supone una mejora en la seguridad debido a la forma en que se envían las credenciales del usuario a través de la red. La autenticación de texto implícita transmite las credenciales a través de la red como un hash MD5, también conocido como mensaje implícito, en el que el nombre de usuario y la contraseña originales no pueden descifrarse del hash. La autenticación de texto implícita está disponible para los directorios del Sistema distribuido de creación y control de versiones Web (WebDAV).
 

Metodos de Autenticación y protocolos de Autenticación

Los métodos de autenticación y los protocolos de autenticación
La autenticación de clientes de acceso remoto es una cuestión de gran importancia para la seguridad. Los métodos de autenticación normalmente utilizan un protocolo de autenticación que se negocia durante el proceso de establecimiento de la conexión.

LA CLASIFICACIÓN.
  protocolos : 
ü       EAP.
ü       MS-CHAP.
ü       MS-CHAP versión 2.
ü       CHAP.
ü       SPAP.
ü       PAP. 

ü       Acceso sin autenticar.
1.     EAP.
Protocolo de autenticación extensible (EAP, Extensible Authentication Protocol), mecanismo de autenticación arbitrario, valida las conexiones de acceso remoto.
El cliente de acceso remoto y el autenticador (el servidor de acceso remoto o el servidor del Servicio de autenticación de Internet (IAS,Internet Authentication Service) negocian el esquema de autenticación exacto que se va a utilizar.
Los esquemas de autenticación específicos de EAP se denominan tipos de EAP. El cliente de acceso remoto y el autenticador deben admitir el mismo tipo de EAP para que la autenticación se lleve a cabo correctamente.

Infraestructura EAP

El protocolo EAP de Windows 2000 está formado por un conjunto de componentes internos que proporcionan una arquitectura compatible con cualquier tipo de EAP en forma de módulo de complemento. Para que la autenticación se realice correctamente, el cliente de acceso remoto y el autenticador deben tener instalado el mismo módulo de autenticación EAP. Windows 2000 proporciona dos tipos de EAP: EAP-MD5 CHAP y EAP-TLS. También es posible instalar otros tipos de EAP adicionales. Los componentes del tipo de EAP deben estar instalados en todos los autenticadores y clientes de acceso remoto.

1.1  EAP-MD5 CHAP

El Protocolo de autenticación por desafío mutuo de síntesis de mensaje 5-EAP (EAP-MD5 CHAP, EAP-Message Digest 5 Challenge Handshake Authentication Protocol) es un tipo de EAP requerido que utiliza el mismo protocolo de desafío mutuo que CHAP basado en PPP, con la diferencia de que los desafíos y las respuestas se envían como mensajes EAP.
EAP-MD5 CHAP suele utilizarse para autenticar las credenciales de los clientes de acceso remoto mediante sistemas de seguridad que usan nombres de usuario y contraseñas. También puede utilizarse para probar la interoperabilidad de EAP.

1.2  EAP-TLS

El tipo de EAP Seguridad del nivel de transporte EAP (EAP-TLS, EAP-Transport Level Security) se utiliza en entornos de seguridad basados en certificados. Si está utilizando tarjetas inteligentes para la autenticación de acceso remoto, debe utilizar el método de autenticación EAP-TLS. El intercambio de mensajes EAP-TLS permite la autenticación y negociación mutua del método de cifrado y el intercambio seguro de claves cifradas entre el cliente de acceso remoto y el autenticador. EAP-TLS proporciona el método de intercambio de claves y autenticación más eficaz.
EAP-TLS sólo se admite en servidores de acceso remoto que ejecutan Windows 2000 y que son miembros de un dominio en modo mixto o modo nativo de Windows 2000. Los servidores de acceso remoto que ejecutan Windows 2000 de forma independiente no admiten EAP-TLS.
Para obtener más información acerca de cómo configurar las tarjetas inteligentes para clientes de acceso remoto, consulte Usar tarjetas inteligentes para el acceso remoto

1.3  EAP-RADIUS

EAP-RADIUS no es un tipo de EAP, sino el paso de cualquier tipo de EAP a un servidor RADIUS realizada por un autenticador de mensajes EAP para su autenticación. Por ejemplo, si se configura un servidor de acceso remoto para la autenticación RADIUS, los mensajes EAP enviados entre el cliente y el servidor de acceso remoto se encapsulan y formatean como mensajes RADIUS entre el servidor de acceso remoto y el servidor RADIUS.
EAP-RADIUS se utiliza en entornos en los que RADIUS se usa como proveedor de autenticación. La ventaja de utilizar EAP-RADIUS es que no es necesario instalar los tipos de EAP en todos los servidores de acceso remoto, sino sólo en el servidor RADIUS. En el caso de los servidores IAS, sólo debe instalar tipos de EAP en el servidor IAS.
Por lo general, al utilizar EAP-RADIUS, el servidor de acceso remoto Windows 2000 se configura para utilizar EAP y un servidor IAS para la autenticación. Cuando se establece una conexión, el cliente de acceso remoto negocia el uso de EAP con el servidor de acceso remoto. Si el cliente envía un mensaje EAP al servidor de acceso remoto, éste encapsula el mensaje EAP como un mensaje RADIUS y lo envía al servidor IAS configurado. El servidor IAS procesa el mensaje EAP y devuelve un mensaje EAP encapsulado como RADIUS al servidor de acceso remoto. A continuación, el servidor de acceso remoto reenvía el mensaje EAP al cliente de acceso remoto. En esta configuración, el servidor de acceso remoto sólo funciona como dispositivo de paso a través. Todo el procesamiento de los mensajes EAP se lleva a cabo en el cliente de acceso remoto y en el servidor IAS.

2.  MS-CHAP

Windows 2000 incluye compatibilidad con el Protocolo de autenticación por desafío mutuo de Microsoft (MS-CHAP, Microsoft Challenge Handshake Authentication Protocol), también conocido como MS-CHAP versión 1. MS-CHAP es un protocolo de autenticación de contraseñas de cifrado no reversible. El proceso de desafío mutuo funciona de la manera siguiente:
1.   El autenticador (el servidor de acceso remoto o el servidor IAS) envía al cliente de acceso remoto un desafío formado por un identificador de sesión y una cadena de desafío arbitraria.
2.   El cliente de acceso remoto envía una respuesta que contiene el nombre de usuario y un cifrado no reversible de la cadena de desafío, el identificador de sesión y la contraseña.
3.   El autenticador comprueba la respuesta y, si es válida, se autentican las credenciales del usuario.
Si utiliza MS-CHAP como protocolo de autenticación, puede utilizar el Cifrado punto a punto de Microsoft (MPPE, Microsoft Point-to-Point Encryption) para cifrar los datos enviados por la conexión PPP o PPTP.

3.  MS-CHAP versión 2

Windows 2000 incluye compatibilidad con la versión 2 del Protocolo de autenticación por desafío mutuo de Microsoft (MS-CHAP v2, Microsoft Challenge Handshake Authentication Protocol), que proporciona seguridad de alto nivel para las conexiones de acceso remoto. MS-CHAP v2 resuelve algunos problemas de MS-CHAP versión 1, como se muestra en la siguiente tabla.
Problema de MS-CHAP versión 1
Solución de MS-CHAP versión 2
La codificación de LAN Manager de la respuesta utilizada para la compatibilidad con versiones más antiguas de los clientes de acceso remoto de Microsoft ofrece un nivel de cifrado muy bajo.
MS-CHAP v2 ya no permite respuestas codificadas de LAN Manager.
La codificación de LAN Manager de los cambios de contraseña ofrece un nivel de cifrado muy bajo.
MS-CHAP v2 ya no permite cambios de contraseña codificados de LAN Manager.
Sólo es posible la autenticación unidireccional. El cliente de acceso remoto no puede comprobar si está marcando al servidor de acceso remoto de la organización o a un servidor de acceso remoto enmascarado.
MS-CHAP v2 proporciona autenticación bidireccional, conocida también como autenticación mutua. El cliente de acceso remoto recibe la confirmación de que el servidor de acceso remoto al que está marcando tiene acceso a la contraseña del usuario.
Con la codificación de 40 bits, la clave de cifrado está basada en la contraseña del usuario. Cada vez que el usuario se conecta con la misma contraseña, se genera la misma clave de cifrado.
Con MS-CHAP v2, la clave de cifrado se basa siempre en la contraseña del usuario y en una cadena de desafío arbitraria. Cada vez que el usuario se conecta con la misma contraseña, se utiliza una clave de cifrado distinta.
Para los datos enviados en ambas direcciones de la conexión se utiliza una única clave de cifrado.
Con MS-CHAP v2, para los datos transmitidos y recibidos se generan claves de cifrado independientes.
MS-CHAP v2 es un proceso unidireccional con contraseña cifrada y autenticación mutua que funciona de la manera siguiente:
1.   El autenticador (el servidor de acceso remoto o el servidor IAS) envía un desafío al cliente de acceso remoto que consta de un identificador de sesión y una cadena de desafío arbitraria.
2.   El cliente de acceso remoto envía una respuesta que contiene:
·                  El nombre del usuario.
·                  Una cadena de desafío arbitraria del mismo nivel.
·                  Una codificación unidireccional de la cadena de desafío recibida, la cadena de desafío del mismo nivel, el identificador de sesión y la contraseña del usuario.
3.   El autenticador comprueba la respuesta del cliente y devuelve una respuesta que contiene:
·                  Una indicación del éxito o fracaso del intento de conexión.
·                  Una respuesta autenticada basada en la cadena de desafío enviada, la cadena de desafío del mismo nivel, la respuesta codificada del cliente y la contraseña del usuario.
4.   El cliente de acceso remoto comprueba la respuesta de autenticación y, si es correcta, utiliza la conexión. Si la respuesta de autenticación no es correcta, el cliente de acceso remoto termina la conexión.

4.  CHAP

El Protocolo de autenticación por desafío mutuo (CHAP, Challenge Handshake Authentication Protocol) es un protocolo de autenticación mediante desafío y respuesta que utiliza Síntesis del mensaje 5 (MD5,Message Digest 5), un esquema de hash estándar del sector, para cifrar la respuesta. Varios fabricantes de clientes y servidores de acceso a la red emplean el protocolo CHAP. Los servidores de acceso remoto que ejecutan Windows 2000 admiten CHAP a fin de poder autenticar a clientes de acceso remoto que no son de Microsoft.

5.  SPAP

El Protocolo de autenticación de contraseñas de Shiva (SPAP, Shiva Password Authentication Protocol) es un mecanismo de cifrado reversible empleado por Shiva. Al conectarse a un equipo Shiva LAN Rover, los equipos que ejecutan Windows 2000 Professional utilizan SPAP, el mismo protocolo que emplea el cliente Shiva que conecta con el servidor de acceso remoto de Windows 2000. Esta forma de autenticación es más segura que el texto simple pero menos segura que CHAP o MS-CHAP.

6.  PAP

El Protocolo de autenticación de contraseña (PAP, Password Authentication Protocol) utiliza contraseñas en texto simple y es el protocolo de autenticación menos sofisticado. Se negocia, normalmente, si el cliente y el servidor de acceso remoto no pueden negociar una forma de validación más segura.

7.  Acceso sin autenticar

Windows 2000 admite el acceso sin autenticar, lo que significa que la persona que llama no requiere las credenciales del usuario (un nombre de usuario y una contraseña). Hay algunas situaciones en las que es aconsejable utilizar el acceso sin autenticar. Esta sección trata:
·           Autorización DNIS
·           Autenticación ANI/CLI
·           Autenticación de invitados.

No hay comentarios:

Publicar un comentario