Métodos de Autenticación

El proceso de dar un nombre de usuario y contraseña en IIS se el llama Autenticacion.

Autenticación anónima

La autenticación anónima proporciona a los usuarios acceso a las áreas públicas del sitio Web o FTP sin preguntar el nombre de usuario o la contraseña. Cuando un usuario intenta conectarse al sitio Web o FTP público, el servidor Web le asigna la cuenta de usuario de Windows llamada IUSR_nombre_equipo, donde nombre_equipo es el nombre del servidor en el que se ejecuta IIS. De manera predeterminada, la cuenta IUSR_nombre_equipo está incluida en el grupo de usuarios Invitados de Windows. Este grupo tiene restricciones de seguridad impuestas por los permisos NTFS, que designan el nivel de acceso y el tipo de contenido que hay a disposición de los usuarios públicos.

 

En el siguiente procedimiento se explica cómo utiliza IIS la cuenta IUSR_nombre_equipo:

  1. La cuenta IUSR_nombre_equipo se agrega al grupo Invitados del equipo IIS durante la instalación.
  2. Cuando se recibe una solicitud, IIS suplanta la cuenta IUSR_nombre_equipo antes de ejecutar cualquier código o de tener acceso a cualquier archivo. IIS puede suplantar la cuenta IUSR_nombre_equipo porque conoce el nombre de usuario y la contraseña de esta cuenta.
  3. Antes de devolver una página al cliente, IIS comprueba los permisos de archivos y directorios NTFS para determinar si la cuenta IUSR_nombre_equipo tiene acceso al archivo.
  4. Si está permitido el acceso, se completará la autenticación y los recursos estarán disponibles para el usuario.
  5. Si no está permitido el acceso, IIS intentará utilizar otro método de autenticación. Si no hay ninguno seleccionado, IIS devolverá al explorador un mensaje de error “HTTP 403 Acceso denegado”.

 

Autenticación básica

La autenticación básica es un método estándar muy extendido para recopilar información de nombre de usuario y contraseña.

Proceso de autenticación de cliente

  1. El explorador Web Internet Explorer muestra un cuadro de diálogo en el que el usuario debe escribir su nombre de usuario y contraseña de Windows previamente asignados, que también se conocen como credenciales.
  2. El explorador Web intentará establecer la conexión con un servidor, mediante las credenciales del usuario. La contraseña de texto simple se codifica en Base64 antes de enviarla a través de la red.Importante   La codificación en Base64 no es un cifrado. Si una contraseña codificada en Base64 es interceptada en la red por un husmeador de redes, la contraseña puede ser descodificada y utilizada por personas no autorizadas.
  3. Si las credenciales de un usuario son rechazadas, Internet Explorer muestra una ventana de diálogo de autenticación para que el usuario vuelva a escribir sus credenciales. En Internet Explorer se permite al usuario tres intentos de conexión antes de informarle de que no se puede establecer la conexión.
  4. Cuando el servidor Web compruebe que el nombre de usuario y la contraseña corresponden a una cuenta de usuario válida de Microsoft Windows, se establecerá una conexión.

 

Autenticación de texto implícita

La autenticación de texto implícita ofrece la misma funcionalidad que la autenticación básica. Sin embargo, la autenticación de texto implícita supone una mejora en la seguridad debido a la forma en que se envían las credenciales del usuario a través de la red. La autenticación de texto implícita transmite las credenciales a través de la red como un hash MD5, también conocido como mensaje implícito, en el que el nombre de usuario y la contraseña originales no pueden descifrarse del hash. La autenticación de texto implícita está disponible para los directorios del Sistema distribuido de creación y control de versiones Web (WebDAV).

 

 

Hash

Hash se refiere a una función o método para generar claves o llaves que representen de manera casi unívoca a un documento, registro, archivo, etc., resumir o identificar un dato a través de la probabilidad, utilizando una función hash o algoritmo hash. Un hash es el resultado de dicha función o algoritmo.

Una función de hash es una función para resumir o identificar probabilísticamente un gran conjunto de información, dando como resultado un conjunto imagen finito generalmente menor

Proceso de autenticación de cliente

Los siguientes pasos indican cómo se autentica a un cliente mediante la autenticación de texto implícita: 

  1. El cliente solicita un archivo del servidor IIS.
  2. El servidor IIS deniega la solicitud y envía la información siguiente al cliente:
    • Se está utilizando autenticación de texto implícita.
    • El nombre del dominio.
  3. Internet Explorer solicita las credenciales del usuario (nombre de usuario y contraseña). Luego, Internet Explorer combina esas credenciales con el nombre del dominio para crear un hash MD5 y reenvía la solicitud del archivo del servidor IIS, esta vez con el hash MD5.
  4. El servidor IIS recibe el hash y envía el hash del cliente al controlador de dominio para la comprobación.
  5. El controlador de dominio informa al servidor IIS del resultado de la autenticación.
  6. Si se autentica al cliente, IIS le envía el documento o los datos solicitados.

 

Autenticación de Windows integrada

La autenticación de Windows integrada (anteriormente llamada NTLM, también denominada autenticación de desafío y respuesta de Windows NT) es un método seguro de autenticación, ya que el nombre de usuario y la contraseña se procesan con el método de hash antes de enviarlos a través de la red. Al habilitar la autenticación de Windows integrada, el explorador del usuario demuestra que conoce la contraseña mediante un intercambio criptográfico con el servidor Web, en el que interviene el método de hash.

La autenticación de Windows integrada utiliza los métodos de autenticación Kerberos v5 y NTLM. Si los servicios Active Directory están instalados en un controlador de dominio con Windows 2000 o posterior y el explorador del usuario es compatible con el protocolo de autenticación Kerberos v5, se utilizará la autenticación Kerberos v5; de lo contrario, se utilizará la autenticación NTLM.

El protocolo de autenticación Kerberos v5 es una característica de la arquitectura de Servicios distribuidos de Windows 2000. Para que la autenticación Kerberos v5 se realice correctamente, tanto el cliente como el servidor deben tener una conexión de confianza a un Centro de distribución de claves (KDC) y ser compatibles con los Servicios de directorio. Para obtener más información acerca de Kerberos y NTLM, consulte la documentación en pantalla de Windows XP.

 

Proceso de Autenticación de Windows integrada

Los siguientes pasos describen cómo se autentica a un cliente mediante la autenticación de Windows integrada:

1.       A diferencia de la autenticación básica, la autenticación de Windows integrada no pide inicialmente un nombre de usuario y una contraseña. La autenticación de Windows integrada utiliza la información de usuario actual de Windows que se encuentra en el equipo cliente.

Nota   Se puede configurar Internet Explorer, versión 4.0 y posteriores, para que solicite inicialmente la información del usuario si es necesaria. Para obtener más información, consulte la documentación de Internet Explorer.

2.       Sin embargo, si inicialmente no se identifica al usuario con el intercambio de autenticación, el explorador le preguntará el nombre de usuario y la contraseña de una cuenta de usuario de Windows, los cuales procesará mediante la autenticación de Windows integrada.

3.       Internet Explorer continuará pidiendo esa información hasta que el usuario escriba un nombre y una contraseña válidos o hasta que cierre el cuadro de diálogo en el que se le pide esa información.

Aunque la autenticación de Windows integrada es segura, tiene dos limitaciones:

1.       Sólo las versiones 2.0 y posteriores de Microsoft Internet Explorer admiten este método de autenticación.

2.       La autenticación de Windows integrada no funciona con conexiones de Proxy HTTP.

Por tanto, la autenticación de Windows integrada es más adecuada en un entorno de intranet, donde el equipo del usuario y el servidor Web pertenecen al mismo dominio, y los administradores pueden asegurarse de que todos los usuarios utilicen Microsoft Internet Explorer, versión 2.0 o posteriores.


2 comentarios to “Métodos de Autenticación”

  1. escriba que ees el metodo hash

  2. Ya hombe

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

 
Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

%d personas les gusta esto: