El proceso de dar un nombre de usuario y contraseña en IIS se
el llama Autenticacion.
Autenticación anónima
La autenticación anónima proporciona a los usuarios acceso a las
áreas públicas del sitio Web o FTP sin preguntar el nombre de
usuario o la contraseña. Cuando un usuario intenta conectarse al
sitio Web o FTP público, el servidor Web le asigna la cuenta de
usuario de Windows llamada IUSR_nombre_equipo, donde
nombre_equipo es el nombre del servidor en el que se ejecuta
IIS. De manera predeterminada, la cuenta IUSR_nombre_equipo
está incluida en el grupo de usuarios Invitados de Windows. Este
grupo tiene restricciones de seguridad impuestas por los permisos
NTFS, que designan el nivel de acceso y el tipo de contenido que hay
a disposición de los usuarios públicos.
En el siguiente procedimiento se explica cómo utiliza IIS la
cuenta IUSR_nombre_equipo:
- La cuenta IUSR_nombre_equipo se agrega al grupo Invitados del equipo IIS durante la instalación.
- Cuando se recibe una solicitud, IIS suplanta la cuenta IUSR_nombre_equipo antes de ejecutar cualquier código o de tener acceso a cualquier archivo. IIS puede suplantar la cuenta IUSR_nombre_equipo porque conoce el nombre de usuario y la contraseña de esta cuenta.
- Antes de devolver una página al cliente, IIS comprueba los permisos de archivos y directorios NTFS para determinar si la cuenta IUSR_nombre_equipo tiene acceso al archivo.
- Si está permitido el acceso, se completará la autenticación y los recursos estarán disponibles para el usuario.
- Si no está permitido el acceso, IIS intentará utilizar otro
método de autenticación. Si no hay ninguno seleccionado, IIS
devolverá al explorador un mensaje de error “HTTP 403 Acceso
denegado”.
Autenticación básica
La autenticación básica es un método estándar muy extendido para recopilar información de nombre de usuario y contraseña.
Proceso de autenticación de cliente
- El explorador Web Internet Explorer muestra un cuadro de diálogo en el que el usuario debe escribir su nombre de usuario y contraseña de Windows previamente asignados, que también se conocen como credenciales.
- El explorador Web intentará establecer la conexión con un servidor, mediante las credenciales del usuario. La contraseña de texto simple se codifica en Base64 antes de enviarla a través de la red.Importante La codificación en Base64 no es un cifrado. Si una contraseña codificada en Base64 es interceptada en la red por un husmeador de redes, la contraseña puede ser descodificada y utilizada por personas no autorizadas.
- Si las credenciales de un usuario son rechazadas, Internet Explorer muestra una ventana de diálogo de autenticación para que el usuario vuelva a escribir sus credenciales. En Internet Explorer se permite al usuario tres intentos de conexión antes de informarle de que no se puede establecer la conexión.
- Cuando el servidor Web compruebe que el nombre de usuario y
la contraseña corresponden a una cuenta de usuario válida de
Microsoft Windows, se establecerá una conexión.
Autenticación de texto implícita
La autenticación de texto implícita ofrece la misma
funcionalidad que la autenticación básica. Sin embargo, la
autenticación de texto implícita supone una mejora en la seguridad
debido a la forma en que se envían las credenciales del usuario a
través de la red. La autenticación de texto implícita transmite
las credenciales a través de la red como un hash
MD5, también conocido como mensaje implícito, en el que el
nombre de usuario y la contraseña originales no pueden descifrarse
del hash. La autenticación de texto implícita está disponible para
los directorios del Sistema distribuido de creación y control de
versiones Web (WebDAV).
Metodos de Autenticación y protocolos de Autenticación
Los métodos de autenticación y los protocolos de autenticación
La
autenticación de clientes de acceso remoto es una cuestión de gran
importancia para la seguridad. Los métodos de autenticación normalmente
utilizan un protocolo de autenticación que se negocia durante el proceso
de establecimiento de la conexión.
LA CLASIFICACIÓN.
protocolos :
ü EAP.
ü MS-CHAP.
ü MS-CHAP versión 2.
ü CHAP.
ü SPAP.
ü PAP.
ü Acceso sin autenticar.
1. EAP.
Protocolo de autenticación extensible (EAP, Extensible Authentication Protocol), mecanismo de autenticación arbitrario, valida las conexiones de acceso remoto.
El
cliente de acceso remoto y el autenticador (el servidor de acceso
remoto o el servidor del Servicio de autenticación de Internet (IAS,Internet Authentication Service) negocian el esquema de autenticación exacto que se va a utilizar.
Los
esquemas de autenticación específicos de EAP se denominan tipos de EAP.
El cliente de acceso remoto y el autenticador deben admitir el mismo
tipo de EAP para que la autenticación se lleve a cabo correctamente.
Infraestructura EAP
El
protocolo EAP de Windows 2000 está formado por un conjunto de
componentes internos que proporcionan una arquitectura compatible con
cualquier tipo de EAP en forma de módulo de complemento. Para que la
autenticación se realice correctamente, el cliente de acceso remoto y el
autenticador deben tener instalado el mismo módulo de autenticación
EAP. Windows 2000 proporciona dos tipos de EAP: EAP-MD5 CHAP y EAP-TLS.
También es posible instalar otros tipos de EAP adicionales. Los
componentes del tipo de EAP deben estar instalados en todos los
autenticadores y clientes de acceso remoto.
1.1 EAP-MD5 CHAP
El Protocolo de autenticación por desafío mutuo de síntesis de mensaje 5-EAP (EAP-MD5 CHAP, EAP-Message Digest 5 Challenge Handshake Authentication Protocol)
es un tipo de EAP requerido que utiliza el mismo protocolo de desafío
mutuo que CHAP basado en PPP, con la diferencia de que los desafíos y
las respuestas se envían como mensajes EAP.
EAP-MD5 CHAP
suele utilizarse para autenticar las credenciales de los clientes de
acceso remoto mediante sistemas de seguridad que usan nombres de usuario
y contraseñas. También puede utilizarse para probar la
interoperabilidad de EAP.
1.2 EAP-TLS
El tipo de EAP Seguridad del nivel de transporte EAP (EAP-TLS, EAP-Transport Level Security)
se utiliza en entornos de seguridad basados en certificados. Si está
utilizando tarjetas inteligentes para la autenticación de acceso remoto,
debe utilizar el método de autenticación EAP-TLS. El intercambio de
mensajes EAP-TLS permite la autenticación y negociación mutua del método
de cifrado y el intercambio seguro de claves cifradas entre el cliente
de acceso remoto y el autenticador. EAP-TLS proporciona el método de
intercambio de claves y autenticación más eficaz.
EAP-TLS
sólo se admite en servidores de acceso remoto que ejecutan Windows 2000
y que son miembros de un dominio en modo mixto o modo nativo de Windows
2000. Los servidores de acceso remoto que ejecutan Windows 2000 de
forma independiente no admiten EAP-TLS.
Para
obtener más información acerca de cómo configurar las tarjetas
inteligentes para clientes de acceso remoto, consulte Usar tarjetas
inteligentes para el acceso remoto
1.3 EAP-RADIUS
EAP-RADIUS no es un tipo de EAP, sino el paso de cualquier tipo
de EAP a un servidor RADIUS realizada por un autenticador de mensajes
EAP para su autenticación. Por ejemplo, si se configura un servidor de
acceso remoto para la autenticación RADIUS, los mensajes EAP enviados
entre el cliente y el servidor de acceso remoto se encapsulan y
formatean como mensajes RADIUS entre el servidor de acceso remoto y el
servidor RADIUS.
EAP-RADIUS
se utiliza en entornos en los que RADIUS se usa como proveedor de
autenticación. La ventaja de utilizar EAP-RADIUS es que no es necesario
instalar los tipos de EAP en todos los servidores de acceso remoto, sino
sólo en el servidor RADIUS. En el caso de los servidores IAS, sólo debe
instalar tipos de EAP en el servidor IAS.
Por
lo general, al utilizar EAP-RADIUS, el servidor de acceso remoto
Windows 2000 se configura para utilizar EAP y un servidor IAS para la
autenticación. Cuando se establece una conexión, el cliente de acceso
remoto negocia el uso de EAP con el servidor de acceso remoto. Si el
cliente envía un mensaje EAP al servidor de acceso remoto, éste
encapsula el mensaje EAP como un mensaje RADIUS y lo envía al servidor
IAS configurado. El servidor IAS procesa el mensaje EAP y devuelve un
mensaje EAP encapsulado como RADIUS al servidor de acceso remoto. A
continuación, el servidor de acceso remoto reenvía el mensaje EAP al
cliente de acceso remoto. En esta configuración, el servidor de acceso
remoto sólo funciona como dispositivo de paso a través. Todo el
procesamiento de los mensajes EAP se lleva a cabo en el cliente de
acceso remoto y en el servidor IAS.
2. MS-CHAP
Windows 2000 incluye compatibilidad con el Protocolo de autenticación por desafío mutuo de Microsoft (MS-CHAP, Microsoft Challenge Handshake Authentication Protocol),
también conocido como MS-CHAP versión 1. MS-CHAP es un protocolo de
autenticación de contraseñas de cifrado no reversible. El proceso de
desafío mutuo funciona de la manera siguiente:
1. El
autenticador (el servidor de acceso remoto o el servidor IAS) envía al
cliente de acceso remoto un desafío formado por un identificador de
sesión y una cadena de desafío arbitraria.
2. El
cliente de acceso remoto envía una respuesta que contiene el nombre de
usuario y un cifrado no reversible de la cadena de desafío, el
identificador de sesión y la contraseña.
3. El autenticador comprueba la respuesta y, si es válida, se autentican las credenciales del usuario.
Si utiliza MS-CHAP como protocolo de autenticación, puede utilizar el Cifrado punto a punto de Microsoft (MPPE, Microsoft Point-to-Point Encryption) para cifrar los datos enviados por la conexión PPP o PPTP.
3. MS-CHAP versión 2
Windows 2000 incluye compatibilidad con la versión 2 del Protocolo de autenticación por desafío mutuo de Microsoft (MS-CHAP v2, Microsoft Challenge Handshake Authentication Protocol),
que proporciona seguridad de alto nivel para las conexiones de acceso
remoto. MS-CHAP v2 resuelve algunos problemas de MS-CHAP versión 1, como
se muestra en la siguiente tabla.
Problema de MS-CHAP versión 1
|
Solución de MS-CHAP versión 2
|
La
codificación de LAN Manager de la respuesta utilizada para la
compatibilidad con versiones más antiguas de los clientes de acceso
remoto de Microsoft ofrece un nivel de cifrado muy bajo.
|
MS-CHAP v2 ya no permite respuestas codificadas de LAN Manager.
|
La codificación de LAN Manager de los cambios de contraseña ofrece un nivel de cifrado muy bajo.
|
MS-CHAP v2 ya no permite cambios de contraseña codificados de LAN Manager.
|
Sólo
es posible la autenticación unidireccional. El cliente de acceso remoto
no puede comprobar si está marcando al servidor de acceso remoto de la
organización o a un servidor de acceso remoto enmascarado.
|
MS-CHAP
v2 proporciona autenticación bidireccional, conocida también como
autenticación mutua. El cliente de acceso remoto recibe la confirmación
de que el servidor de acceso remoto al que está marcando tiene acceso a
la contraseña del usuario.
|
Con
la codificación de 40 bits, la clave de cifrado está basada en la
contraseña del usuario. Cada vez que el usuario se conecta con la misma
contraseña, se genera la misma clave de cifrado.
|
Con
MS-CHAP v2, la clave de cifrado se basa siempre en la contraseña del
usuario y en una cadena de desafío arbitraria. Cada vez que el usuario
se conecta con la misma contraseña, se utiliza una clave de cifrado
distinta.
|
Para los datos enviados en ambas direcciones de la conexión se utiliza una única clave de cifrado.
|
Con MS-CHAP v2, para los datos transmitidos y recibidos se generan claves de cifrado independientes.
|
MS-CHAP v2 es un proceso unidireccional con contraseña cifrada y autenticación mutua que funciona de la manera siguiente:
1. El
autenticador (el servidor de acceso remoto o el servidor IAS) envía un
desafío al cliente de acceso remoto que consta de un identificador de
sesión y una cadena de desafío arbitraria.
2. El cliente de acceso remoto envía una respuesta que contiene:
· El nombre del usuario.
· Una cadena de desafío arbitraria del mismo nivel.
· Una
codificación unidireccional de la cadena de desafío recibida, la cadena
de desafío del mismo nivel, el identificador de sesión y la contraseña
del usuario.
3. El autenticador comprueba la respuesta del cliente y devuelve una respuesta que contiene:
· Una indicación del éxito o fracaso del intento de conexión.
· Una
respuesta autenticada basada en la cadena de desafío enviada, la cadena
de desafío del mismo nivel, la respuesta codificada del cliente y la
contraseña del usuario.
4. El
cliente de acceso remoto comprueba la respuesta de autenticación y, si
es correcta, utiliza la conexión. Si la respuesta de autenticación no es
correcta, el cliente de acceso remoto termina la conexión.
4. CHAP
El Protocolo de autenticación por desafío mutuo (CHAP, Challenge Handshake Authentication Protocol) es un protocolo de autenticación mediante desafío y respuesta que utiliza Síntesis del mensaje 5 (MD5,Message Digest 5),
un esquema de hash estándar del sector, para cifrar la respuesta.
Varios fabricantes de clientes y servidores de acceso a la red emplean
el protocolo CHAP. Los servidores de acceso remoto que ejecutan Windows
2000 admiten CHAP a fin de poder autenticar a clientes de acceso remoto
que no son de Microsoft.
5. SPAP
El Protocolo de autenticación de contraseñas de Shiva (SPAP, Shiva Password Authentication Protocol)
es un mecanismo de cifrado reversible empleado por Shiva. Al conectarse
a un equipo Shiva LAN Rover, los equipos que ejecutan Windows 2000
Professional utilizan SPAP, el mismo protocolo que emplea el cliente
Shiva que conecta con el servidor de acceso remoto de Windows 2000. Esta
forma de autenticación es más segura que el texto simple pero menos
segura que CHAP o MS-CHAP.
6. PAP
El Protocolo de autenticación de contraseña (PAP, Password Authentication Protocol)
utiliza contraseñas en texto simple y es el protocolo de autenticación
menos sofisticado. Se negocia, normalmente, si el cliente y el servidor
de acceso remoto no pueden negociar una forma de validación más segura.
7. Acceso sin autenticar
Windows
2000 admite el acceso sin autenticar, lo que significa que la persona
que llama no requiere las credenciales del usuario (un nombre de usuario
y una contraseña). Hay algunas situaciones en las que es aconsejable
utilizar el acceso sin autenticar. Esta sección trata:
· Autorización DNIS
· Autenticación ANI/CLI
· Autenticación de invitados.
No hay comentarios:
Publicar un comentario