Bloquee TI: mejore la seguridad con certificados autofirmados con IIS de Microsoft
Hoy en día, casi todas las organizaciones tienen algún tipo de aplicación interna basada en web. Ya sea que se trate de un sistema de seguimiento de la mesa de ayuda o de una intranet completa, abundan las aplicaciones web. A medida que continúan proliferando las soluciones basadas en la Web, la protección de la información en estos sitios se ha vuelto cada vez más importante y la protección de las contraseñas de los usuarios se ha vuelto cada vez más difícil. Los certificados brindan una excelente manera de proteger las contraseñas de los usuarios, pero necesita una forma de crear certificados sin pagar mucho dinero a una autoridad de firma de certificados. Los certificados autofirmados son el camino a seguir.
Inicio de sesión único: ¿bendición o maldición?
La mayoría de las organizaciones están avanzando con proyectos de inicio de sesión único. Estos proyectos están diseñados para hacer que todas las aplicaciones se ejecuten con las mismas credenciales de usuario, por lo que los usuarios no tienen que recordar diferentes nombres de usuario para cada sistema, por lo que cuando los usuarios cambian sus contraseñas, no tienen que cambiar sus contraseñas en todos los sistemas.
Incluso si su organización no tiene un plan de inicio de sesión único, es posible que esté utilizando la seguridad integrada en IIS para permitir que los usuarios inicien sesión con sus cuentas LAN. Esta es una gran manera de ayudar a reducir la complejidad de tener que saber la contraseña de su aplicación, pero significa que cada vez que un usuario se autentica en la web, su contraseña se mueve por la red y potencialmente puede ser capturada.
Opciones de autenticación
La autenticación en IIS tiene tres formas básicas: autenticación básica (texto sin formato), autenticación implícita y autenticación integrada de Windows. Las implicaciones básicas de seguridad de usar esto son bien conocidas. Las debilidades de la autenticación básica son bien conocidas; de hecho, si intenta activarla, Microsoft muestra una advertencia, como se muestra en la Figura A. Las contraseñas transmitidas a través de la autenticación básica se pueden capturar de la red utilizando un software estándar con poco esfuerzo.
| Figura A |
 |
| Esta es la advertencia de Microsoft sobre la autenticación básica. |
La autenticación Digest es nueva en IIS 5.0 e IE 5.0 y tiene algunos requisitos bastante altos. Primero, debe usar Active Directory. En segundo lugar, debe usar IIS en el controlador de dominio. Finalmente, debe activar la contraseña bidireccional. Esto no se recomienda porque alguien puede obtener fácilmente las contraseñas de los usuarios en el sistema si el servidor está físicamente ocupado. Entonces, naturalmente, casi nunca elegirá la autenticación Digest.
La autenticación integrada de Windows es mejor porque se puede usar sin las limitaciones anteriores. Sin embargo, también requiere Internet Explorer. Esto significa que si sus usuarios prefieren Netscape u otros navegadores, esta autenticación no funcionará. El resultado final es que es posible que no pueda utilizar esta autenticación.
Por supuesto, puede elegir múltiples autenticaciones para su servidor web. Puede hacer que los usuarios de Internet Explorer se autentiquen mediante la autenticación integrada de Windows y luego permitir que otros usuarios se autentiquen mediante la autenticación básica. Por supuesto, esto todavía significa que las contraseñas de los usuarios que no son de IE son vulnerables a la intromisión.
autenticación de red
Dos elementos clave de la autenticación web son fundamentales para comprender cuán peligrosa puede ser la autenticación básica. Primero, la información de autenticación se envía al servidor web con cada solicitud. Debido a que la web no tiene estado, no recuerda al usuario desde la primera solicitud hasta la segunda. Con cada solicitud, el navegador se esfuerza por volver a enviar la contraseña del usuario para que el servidor web pueda determinar si el usuario puede acceder a la página.
El resultado de esto es que incluso si al usuario solo se le solicita su contraseña una vez, en el caso de una sola sesión, su contraseña puede transmitirse a través de la red cientos (o miles) de veces. Esto aumenta enormemente las posibilidades de que algunos delincuentes obtengan contraseñas de la red.
El segundo factor clave es que el servidor no puede dictar el método por el cual el navegador web enviará la contraseña. Aunque la mayoría de los navegadores probarán primero el mecanismo de cifrado más fuerte que conocen, esto no es técnicamente necesario. Esto significa que incluso si no tiene activada la autenticación básica, su navegador web puede intentar enviar solicitudes al servidor utilizando la autenticación básica. Esto podría terminar revelando la contraseña del usuario.
Otro problema relacionado con la autenticación web es que la autenticación integrada de Windows no puede pasar de un servidor a otro. Por lo tanto, si usa las credenciales del usuario para autenticarse en un servidor SQL o en un servidor Exchange que no está en el mismo servidor, no podrá usar la autenticación integrada de Windows.
Desafortunadamente, en muchos casos, debe abordar la posibilidad de que el navegador use o intente la autenticación básica. La única solución para garantizar que el cifrado nunca se observe en la red es usar SSL.
Como sabe, SSL cifra el tráfico web, por lo que es imposible que nadie más lo controle. Sin embargo, SSL también cifra las solicitudes de los usuarios, la autenticación y cualquier dato de formulario publicado. Esto significa que incluso la autenticación básica está protegida contra la intromisión cuando se utiliza SSL.
Habilitar SSL
Activar SSL en su servidor web requiere que primero obtenga un certificado. Este certificado se utiliza para encapsular la clave de cifrado utilizada por SSL durante la fase de inicialización de la sesión y para autenticar la identidad del servidor en la máquina cliente.
Por lo general, obtiene un certificado de una autoridad de certificación (CA) en la que confía el navegador que posee el usuario. Empresas como Verisign, Thawte y otras ofrecen estos certificados a diferentes precios. Cuando un navegador encuentra un sitio SSL, examina el certificado y determina si el certificado fue creado por una autoridad de certificación raíz en la que confía. La lista de raíces confiables se instala de forma predeterminada cuando se instala el navegador, pero los administradores pueden agregarla o eliminarla según sea necesario.
Debido a que desea asegurarse de que su navegador confíe en la autoridad de certificación raíz cuando trabaje en Internet, casi nunca usará otra cosa que no sea un certificado firmado por una de las raíces confiables predeterminadas. Sin embargo, para aplicaciones internas, puede crear, firmar y usar sus propios certificados.
Servicios de certificados
Windows 2000 proporciona una opción de Servicios de certificados que permite que cualquier computadora con Windows 2000 se convierta en una Autoridad de certificación. Esto significa que puede emitir sus propios certificados SSL, así como certificados firmados por el usuario. Las firmas de usuario permiten a los usuarios firmar mensajes para demostrar que son los que los originaron y que el mensaje no ha sido alterado.
Instalar servicios de certificados
El proceso de instalación de Servicios de certificados es un poco más complicado que seleccionar otro componente de Windows 2000 porque hay información vinculada al certificado raíz de la entidad emisora de certificados. El proceso de instalación de Servicios de certificados es bastante sencillo.
Inicie el subprograma Agregar o quitar programas haciendo clic en Inicio – Configuración – Panel de control – Agregar o quitar programas. Haga clic en la opción Agregar o quitar componentes de Windows. Esto mostrará el cuadro de diálogo Componentes de Windows, que se muestra en la Figura B.
| Figura B |
 |
| Este es el cuadro de diálogo Componentes de Windows. |
Haga clic en la casilla de verificación a la izquierda de Servicios de certificados. Aparecerá la advertencia que se muestra en la Figura C.
| Figura C |
 |
| Servicios de certificados advierte que la pertenencia al dominio no se puede cambiar. |
Haga clic en Sí para ver la advertencia de que no puede unirse al dominio o eliminar o cambiar el nombre de la computadora del dominio después de instalar Servicios de certificados. Esto mostrará el cuadro de diálogo Tipo de autoridad de certificación, que se muestra en la Figura D.
| Figura D |
 |
| Aquí debe seleccionar el tipo de autoridad de certificación. |
Seleccione el tipo de autoridad de certificación para instalar. En la mayoría de los casos, una CA raíz empresarial es la mejor opción porque se usará junto con Active Directory. Haga clic en el botón Siguiente para mostrar el cuadro de diálogo de entrada de datos, que se muestra en la Figura E.
| Figura E |
 |
| Aquí puede ver la información de identificación de la autoridad certificadora. |
Introduzca la información de identificación de la CA en este cuadro de diálogo. Esta información se vinculará al certificado raíz de la autoridad de certificación. Esto significa que será visible para los clientes, por lo que se debe prestar atención a la información ingresada aquí. Tenga en cuenta que selecciona el período de validez de la CA en la parte inferior. Por lo general, querrá que sea un número bastante grande para que la CA pueda emitir certificados durante un largo período de tiempo. Después del vencimiento, ya no puede emitir certificados desde Servicios de certificados. Haga clic en el botón Siguiente para ingresar al paso de almacenamiento de datos, como se muestra en la Figura F.
| Figura F |
 |
| Aquí ingresará la ubicación de almacenamiento de los servicios de certificados. |
Ingrese la ruta a la información de Servicios de certificados, o acepte el valor predeterminado y haga clic en Siguiente para continuar con la advertencia en la Figura G.
| Figura G |
 |
| Tenga en cuenta que los servicios de certificados requieren un reinicio de IIS. |
Si IIS ya está instalado en su computadora, haga clic en Aceptar en la advertencia de que IIS se cerrará. Una vez finalizada la instalación, haga clic en el botón Finalizar.
Emisión de certificados SSL
El proceso de emisión de un certificado SSL sigue un proceso sorprendentemente similar. Esta vez, sin embargo, comienza con un navegador web que apunta al servidor donde están instalados los Servicios de certificados. Inicie un navegador web y apunte a Reemplazar localhost con el nombre del servidor en el que instala los Servicios de certificados (si no está en ese servidor). La pantalla de bienvenida para Servicios de certificados se muestra en la Figura H.
| Figura H |
 |
| Esta es la pantalla de bienvenida del sitio web de servicios de certificados. |
Acepte las opciones predeterminadas para solicitar un certificado y haga clic en el botón Siguiente para mostrar la página web de selección de certificados, como se muestra en la Figura I.
| Figura 1 |
 |
| Aquí debe seleccionar el tipo de certificado. |
Haga clic en el botón de radio Solicitud avanzada porque no está solicitando credenciales de usuario. Haga clic en el botón Siguiente. Acepte la solicitud de envío predeterminada a través del formulario y haga clic en Siguiente.
A continuación, verá el formulario de solicitud de certificado. En el cuadro Plantilla de certificado, seleccione Certificado de servidor web. El resto del cuadro de diálogo cambiará para permitirle especificar información básica sobre el sitio web. Ingrese la información básica sobre el sitio web y desplácese hacia abajo hasta la sección Opciones clave.
En el cuadro CSP, seleccione el proveedor de cifrado que desea utilizar. Microsoft Base Cryptographic Provider se puede usar para realizar pruebas, pero debe considerar un proveedor más seguro, como Microsoft Strong Cryptographic Provider. Asegúrese de que «Uso de clave» esté configurado en «Ambos». Puede elegir el tamaño de clave que desee; sin embargo, cuanto más larga sea la clave, más intenso será el procesamiento. Haga clic en el botón Enviar para crear el certificado. Haga clic en el enlace para instalar el certificado.
Activar SSL en el sitio web
Una vez que obtenga el certificado, es hora de instalarlo en su sitio web. Para hacer esto, abra el Administrador de servicios de Internet desde la carpeta Inicio-Programas-Herramientas administrativas. Expanda Equipo local, haga clic con el botón derecho en el sitio web que desea proteger y seleccione Propiedades.
Haga clic en la pestaña Seguridad del directorio. A continuación, haga clic en el botón Certificado del servidor. Después de eso, haga clic en el botón Siguiente para ir más allá de la pantalla de bienvenida. Haga clic en Asignar certificado existente y luego haga clic en Siguiente.
Seleccione el certificado que emitió e instaló anteriormente. Haga click en el siguiente botón para continuar. Confirme los detalles del certificado y haga clic en Siguiente. Haga clic en el botón Finalizar para completar la instalación del certificado.
Haga clic en la pestaña Sitios web y asegúrese de que el puerto SSL esté especificado. Debería ser 443 por defecto. Cuando haya terminado, haga clic en el botón Aceptar y cierre el Administrador de servicios de Internet.
