Joven hacker sonriendo

Hackeamos su software

cero falsos positivos

Inteligencia experta + automatización eficaz

Diagrama con flechas que muestran la interacción usuario-servidor

Windows y las intranets

Estableciendo canales seguros de comunicación con IWA
Una Intranet es una red privada que a menudo es utilizada por empresas y que cuenta con todos los beneficios de Internet, sin embargo éste tipo de red también es potencialmente vulnerable a ataques. En este artículo explicamos como implementar una Intranet de forma segura desde Windows.

Para nadie es un secreto que la tecnología en general ha venido dando pasos agigantados en su implementación y evolución. En relación con esto, el uso de los computadores, los dispositivos móviles, las redes informáticas y el Internet han permitido que tanto las personas como a las empresas, accedan y guarden información fundamental que de una u otra manera es utilizada en la toma de decisiones personales y profesionales.

En ese sentido, las empresas grandes y pequeñas, se han visto en la necesidad, o mejor dicho, han visto la oportunidad de crear canales de comunicación privados y seguros que permitan a todos sus miembros acceder y compartir información, al igual que usar diferentes recursos pertenecientes a la organización, surgiendo de esta manera las intranets.

Una intranet es una red privada que utiliza todas las funcionalidades y recursos de Internet, de tal manera que concede el intercambio de información de forma rápida y, como su nombre lo dice, privada y controlada dentro de una organización.

intranet
Figura 1. What is an Intranet? - Axero

Pero así como usa todos los beneficios de Internet, en igual medida, también se ve afectado por todos los riesgos de seguridad que tiene el primero. Uno de esos riesgos es que personas no autorizadas ingresen a la red interna y puedan ver y extraer información confidencial y sensible para la empresa. Una forma de dar solución a los posibles problemas de acceso no autorizado en una intranet, es usar la Autenticación Integrada de Windows, más conocida por sus siglas en inglés IWA.

IWA es un método robusto de autenticación desarrollado por Microsoft que proporciona métodos de identificación automáticos entre un usuario y un recurso compartido alojado en un servidor, el cual está dentro de un dominio de Windows accedido mediante un directorio activo. Cabe mencionar que esos recursos pueden ser el permiso para acceder a un sitio web determinado. Además, se debe explicar que un directorio activo es un servicio, establecido en uno o varios servidores, que proporciona métodos para almacenar, administrar y facilitar los recursos propios de una red.

Ahora, como la autenticación integrada de Windows no es un protocolo ni mucho menos un estándar de autenticación, pero aun así implementa características de seguridad entre los clientes y servidores, donde inicialmente el usuario no requiere identificarse directamente al servidor, porque es suministrada a través de un navegador web mediante el intercambio de datos codificados, obliga a que IWA se apoye en protocolos como Kerberos, NTLM, y SPNEGO para su funcionamiento.

Kerberos es un protocolo de seguridad desarrollado por el MIT que usa criptografía simétrica (Mendoza, 2008), para validar usuarios ante los recursos de una red. Por su parte, NTLM es un protocolo de autenticación creado por Microsoft y que se fundamenta en el uso de nombres de usuario y contraseñas cifradas al momento de autenticarse en la red, con el fin de proteger la información de ésta. Y, SPNEGO es un estándar que establece determinadas reglas de comunicación en el modelo cliente servidor.

iwa
Figura 2. Funcionamiento de IWA

Una vez definidos los protocolos en los que se apoya IWA, es absolutamente necesario explicar, de una manera comprensible, cuál es su funcionamiento:

Al igual que con cualquier método de autenticación, un usuario (previamente identificado mediante un directorio activo en un dominio de Windows) envía una solicitud de acceso, usando un navegador Web, a un recurso protegido y alojado en un servidor dentro del mismo dominio del cliente y que implementa la autenticación integrada de Windows (1).

Entonces, cuando la petición llega a dicho servidor, este la rechaza argumentando en su respuesta que el usuario carece de las credenciales necesarias para poder ingresar (2). Este rechazo es invisible para el usuario debido a que la respuesta es procesada internamente por el navegador, el cual, previamente, debió ser configurado para realizar este tipo de comunicaciones, es decir, trabajar con IWA.

En ese orden de ideas, cuando el navegador recibe el mensaje de denegación, éste le envía al servidor los datos de identificación del usuario. Estos datos son los que él usó al momento de autenticarse ante el dominio de Windows (3), en pocas palabras, en el instante en que inició sesión en el equipo. Además, cabe aclarar que la información del usuario es previamente encriptada antes de ser enviada al servidor.

Siguiendo con el proceso, el servidor recibe los datos y los compara con su base de datos, y en caso de que encuentre una coincidencia, crea y encripta un mensaje aleatorio, el cual es remitido al navegador (4). Como el navegador Web dispone de la información necesaria para desencriptar el mensaje, lo descifra y envía al servidor el mensaje decodificado (5).

Por último, el servidor verifica que el mensaje enviado por el navegador corresponde al que él generó. De ser así, éste le permite al usuario el acceso en la página o recurso solicitado. En caso de no coincidir, y que alguno de los pasos mencionados previamente falle, el servidor envía un mensaje de negación de acceso, el cual, en este caso, sí es mostrado al usuario (6).

Para concluir, hay que mencionar que el uso de la autenticación integrada de Windows dentro de una intranet es una buena opción de implementación, precisamente porque todos los equipos(servidores y clientes) pertenecen al mismo dominio y de ese modo los administradores pueden estar seguros de que nadie externo a la organización puede acceder a los recursos e información contenidos en la intranet.

Por otro lado, aunque IWA es una implementación tecnológica de Microsoft e inicialmente fue concebida para funcionar con Internet Explorer, hoy en día casi todos los navegadores existentes permiten el uso de la tecnología, siempre y cuando se hagan las configuraciones respectivas, configuraciones que, en verdad, no representan ninguna dificultad.

En última instancia, y como ya se ha mencionado antes, los usuarios deben pertenecer al mismo dominio de Windows, por tanto,los mecanismos de autenticación de IWA son invisibles para el usuario final, lo que garantiza que éste no sea víctima de un ataque de ingeniería social con el fin de conocer sus credenciales de acceso, porque él nunca llega a saberlas.


Foto del autor

Jhony Arbey Villa Peña

Ingeniero en Sistemas.

Apasionado por las redes la música y la seguridad.



Relacionado




Estado de los servicios - Términos de Uso