Upload File

5 autenticacion

4
mar-14 Herramientas de Gestión de Redes Ing. Carlos Rojas Castro Autenticación Centralizada Introducción En el mundo actual, pero en especial las organizaciones actuales, los usuarios deben dar pruebas de quiénes son para así verificar si pueden acceder a cierto tipo de información de la compañía. Hay archivos, datos, documentos, gráficos y otros "secretos empresariales" que sólo ciertos empleados privilegiados pueden conocer. El problema radica en que, en la mayoría de los casos, los usuarios deben usar tantos mecanismos de autenticación como sistemas de información tiene la compañía, lo cual es bueno para mantener fuera a los invasores pero bastante incómodo y laborioso para los autorizados. El propósito de este artículo es sugerir una posible solución a este inconveniente, con la cual se pretende minimizar la cantidad de claves que se deben utilizar sin minimizar la seguridad que se le brinda a los sistemas de información. Autenticación Autenticación se refiere al proceso por medio del cual un usuario de una red adquiere el derecho a usar una identidad dentro de la dicha red. Hay maneras de autenticar un usuario, como el uso de claves, Biométricos ,smart cards, certificados digitales. La ventaja es que la identidad del usuario en la red no necesariamente tiene que ser igual al nombre de la persona. Una misma persona puede tener muchas identidades virtuales y vise versa. Existen tres tipos de autenticación: Autenticación por conocimiento específico: El nombre de mi mamá, la clave del cajero, una palabra clave, etc. Autenticación por posesión: Una tarjeta inteligente. Autenticación por identidad: La huella digital, la retina, la voz, u otras características físicas. El reto El reto es lograr que el usuario tenga una única clave, la cual le sirva para ingresar a todos los servicios logrando una mayor seguridad en los sistemas y aplicaciones; para lograr esto es necesario acudir a una arquitectura de autenticación centralizada. Autenticación Centralizada Existen dos modelos de autenticación uno descentralizado y otro centralizado. En el modelo descentralizado, cada servicio de la red maneja sus claves de forma independiente, por ejemplo los usuarios de Oracle, los usuarios de un firewall, los administradores de un sitio Web; cada uno de estas aplicaciones maneja por separado sus claves y las mimas no son compartidas. En la autenticación centralizada los usuarios y sus claves se ubican en un repositorio central, las diferentes aplicaciones se configuran para identificar este lugar y hacer la autenticación contra el repositorio. Para nuestro caso las claves estarán ubicadas dentro de un servidor de directorio activo, pero en general podrían estar almacenadas en un archivo de texto plano o en una base de datos relacional entre otros métodos de almacenamiento de información.

Upload: carlos-rojas

Post on 23-Dec-2015

9 views

Category:

Documents


2 download

Report

DESCRIPTION

5 Autenticacion

TRANSCRIPT

Page 1: 5 Autenticacion

mar-14

Herramientas de Gestión de Redes

Ing. Carlos Rojas Castro

Autenticación Centralizada

Introducción

• En el mundo actual, pero en especial las organizaciones actuales,los usuarios deben dar pruebas de quiénes son para así verificar sipueden acceder a cierto tipo de información de la compañía.

• Hay archivos, datos, documentos, gráficos y otros "secretosempresariales" que sólo ciertos empleados privilegiados puedenconocer.

• El problema radica en que, en la mayoría de los casos, losusuarios deben usar tantos mecanismos de autenticación comosistemas de información tiene la compañía, lo cual es bueno paramantener fuera a los invasores pero bastante incómodo ylaborioso para los autorizados.

El propósito de este artículo es sugerir una posible solución aeste inconveniente, con la cual se pretende minimizar lacantidad de claves que se deben utilizar sin minimizar laseguridad que se le brinda a los sistemas de información.

Autenticación

• Autenticación se refiere al proceso por medio delcual un usuario de una red adquiere el derecho ausar una identidad dentro de la dicha red.Hay maneras de autenticar un usuario, como el usode claves, Biométricos ,smart cards, certificadosdigitales. La ventaja es que la identidad del usuarioen la red no necesariamente tiene que ser igual alnombre de la persona. Una misma persona puedetener muchas identidades virtuales y vise versa.

• Existen tres tipos de autenticación:

– Autenticación por conocimiento específico: El nombrede mi mamá, la clave del cajero, una palabra clave, etc.

– Autenticación por posesión: Una tarjeta inteligente.

– Autenticación por identidad: La huella digital, la retina,la voz, u otras características físicas.

El reto

• El reto es lograr que elusuario tenga una única clave,la cual le sirva para ingresar atodos los servicios lograndouna mayor seguridad en lossistemas y aplicaciones; paralograr esto es necesarioacudir a una arquitectura deautenticación centralizada.

Autenticación Centralizada

• Existen dos modelos de autenticación unodescentralizado y otro centralizado.– En el modelo descentralizado, cada servicio de la red

maneja sus claves de forma independiente, por ejemplolos usuarios de Oracle, los usuarios de un firewall, losadministradores de un sitio Web; cada uno de estasaplicaciones maneja por separado sus claves y las mimasno son compartidas.

– En la autenticación centralizada los usuarios y sus clavesse ubican en un repositorio central, las diferentesaplicaciones se configuran para identificar este lugar yhacer la autenticación contra el repositorio.

Para nuestro caso las claves estarán ubicadas dentro de un servidor de directorioactivo, pero en general podrían estar almacenadas en un archivo de texto plano oen una base de datos relacional entre otros métodos de almacenamiento deinformación.

Page 2: 5 Autenticacion

mar-14

Qué es Active Directory?

• Active Directory es el servicio de directorio de una redWindows.

• Este servicio de directorio es un servicio de red quealmacena información acerca de los recursos de la redy permite el acceso de los usuarios y las aplicaciones adichos recursos, de forma que se convierte en unmedio de organizar, controlar y administrarcentralizadamente el acceso a los recursos de la red.

• El servicio Active Directory proporciona la capacidadde establecer un único inicio de sesión y un repositoriocentral de información para toda su infraestructura.

• Active Directory almacena información acerca de los– Usuarios– Equipos– Recursos de red

• Permite el acceso a los recursos por parte de– Usuarios– aplicaciones

• Asimismo, proporciona una forma coherente de asignarnombres, describir, localizar, obtener acceso, administrar yproteger la información de estos recursos.

Una de las ventajas fundamentales de AD es que separa la estructura lógica de la organización (dominios)de la estructura física (topología

de la red). Ello permite independizar la estructuración de dominios de la organización, de la topología de la red que interconecta los sistemas.

Funciones

El control de recursos como servidores, Archivos compartidos, Impresoras

Sólo los usuarios autorizados pueden obtener acceso a los recursos

Centralizar el control de los

recursos de redLos administradores pueden administrar equipos cliente distribuidos, servicios de red y aplicaciones desde una ubicación central mediante una interfaz de administración coherente

Pueden distribuir tareas administrativas mediante la delegación del control de los recursos a otros administradores.

Centralizar y descentralizar

la administración

de recursos

Almacena todos los recursos como objetos en una estructura lógica, jerárquica y segura.

Almacenar objetos de

forma segura en una estructura

lógicaPermite utilizar el ancho de banda de red de forma más efectiva.

Por ejemplo, garantiza que, cuando un usuario inicie una sesión en la red, la autoridad de autenticación más cercana a él lo autentique, reduciendo así la cantidad de tráfico de red.

Optimizar el tráfico de red

Estructura lógica de Active Directory • Objetos. – Son los componentes más básicos de la estructura

lógica.

– Las clases de objetos son plantillas o planos técnicospara los tipos de objetos que se pueden crear enActive Directory.

– Cada clase de objetos se define mediante un grupo deatributos, que definen los posibles valores que sepueden asociar a un objeto.

– Cada objeto posee una única combinación de valoresde atributos.

Page 3: 5 Autenticacion

mar-14

• Unidades organizativas.

– Se pueden utilizar estos objetos contenedores paraestructurar otros objetos de modo que admitan lospropósitos administrativos.

– Mediante la estructuración de los objetos por unidadesorganizativas, se facilita su localización y administración.

– También se puede delegar la autoridad para administrar unaunidad organizativa.

– Las unidades organizativas pueden estar anidadas en otrasunidades organizativas, lo que simplifica la administración deobjetos.

• Dominios. – Se trata de las unidades funcionales centrales en la

estructura lógica de Active Directory que son un conjunto de objetos definidos de forma administrativa y que comparten:• una base de datos,

• directivas de seguridad y

• relaciones de confianza comunes con otros dominios.

– Los dominios proporcionan las siguientes tres funciones: • Un límite administrativo para objetos

• Un medio de administración de la seguridad para recursos compartidos

• Una unidad de replicación para objetos

UO

UO UO

• Árboles de dominios. – Los dominios que están agrupados en estructuras jerárquicas se

denominan árboles de dominios.– Al agregar un segundo dominio a un árbol, se convierte en secundario

del dominio raíz del árbol.– El dominio al que está adjunto un dominio secundario se denomina

dominio primario.– Un dominio secundario puede tener a su vez su propio dominio

secundario.– El nombre de un dominio secundario se combina con el nombre de su

dominio primario para formar su propio nombre único de Sistema denombres de dominio (DNS, Domain Name System), comocorp.nwtraders.msft.

– De esta forma, el árbol dispone de un a espacio de nombres contiguo.

• Bosques. – Un bosque es una instancia completa de Active Directory.– Consta de uno o varios árboles.– En un árbol de sólo dos niveles, que se recomienda para a mayoría de las

organizaciones, todos los dominios secundarios se convierten en secundarios deldominio raíz de bosque para formar un árbol contiguo.

– El primer dominio del bosque se denomina dominio raíz de bosque.– El nombre de ese dominio se refiere al bosque, como por ejemplo

nwtraders.msft.– De forma predeterminada, la información de Active Directory se comparte sólo

dentro del bosque. De este modo, el bosque es un límite de seguridad para lainformación contenida en la instancia de Active Directory.

Bosque

Estructura física de Active Directory

Page 4: 5 Autenticacion

mar-14

• Capacidades de Active Directory• Esta información se almacena en

forma de valores de atributos.

• Se pueden buscar objetosbasándose en su clase, atributos,valores de atributos, ubicacióndentro de la estructura de ActiveDirectory o cualquier combinaciónde estos valores.

Permite a usuarios y aplicaciones obtener

acceso a información sobre

objetos

• De este modo, un usuario de una redpuede obtener acceso a cualquierrecurso, como una impresora, sinsaber el lugar donde se encuentra o elmodo en que está conectadofísicamente a la red.

Clarifica la topología de red física y los

protocolos.

• Puesto que se organiza en particiones, ActiveDirectory se puede ampliar a medida que laorganización crece.

• Por ejemplo, un directorio se puede ampliar deun solo servidor con varios cientos de objetos amiles de servidores y millones de objetos.

Permite el almacenamiento de un gran número de

objetos

• Active Directory en modo de aplicación (AD/AM)es una nueva capacidad de Microsoft ActiveDirectory que trata determinadas situaciones deimplementación relacionadas con aplicacioneshabilitadas para directorios.

• AD/AM se ejecuta como un servicio del sistema no operativo y, como tal, no requiere implementación en un controlador de dominio.

Se puede ejecutar como un servicio

del sistema no operativo

Instalación

Nombres asociados a las unidades organizativas

• Las referencias a objetos específicos de Active Directorypueden hacerse mediante distintos tipos de nombres quedescriben su ubicación.

• Active Directory crea un nombre completo relativo, unnombre completo y un nombre canónico para cada objeto, enfunción de la información suministrada por el administradoren el momento de crear o modificar el objeto.

Cómo crear una unidad organizativa

• Para crear una nueva unidad organizativa:– 1. Abra Usuarios y equipos de Active Directory.– 2. En el árbol de la consola, haga doble clic en el nodo de

dominio.– 3. Haga doble clic con el botón secundario del mouse(ratón) en el

nodo de dominio o en la carpeta en la que de desee agregar launidad organizativa seleccione Nuevo y, a continuación, haga clicen Unidad organizativa.

– 4. En el cuadro de diálogo Nuevo objeto - Unidad organizativa, enel cual Nombre, escriba el nombre de la unidad organizativa y, acontinuación, haga clic en Aceptar.

Cómo crear una cuenta de usuario

• Las cuentas de usuario de dominio permiten a losusuarios iniciar una sesión en un dominio y teneracceso a recursos de cualquier lugar de la red,mientras que las cuentas locales de usuariopermiten a los usuarios iniciar sesiones y teneracceso únicamente a los recursos del equipo en elque se ha creado la cuenta de usuario local. Comoadministrador de sistemas, debe crear cuentas deusuario locales y de dominio para administrar elentorno de red.


Autenticacion Biometrica FACPOD

Mautner Autenticacion

Implementacion Servidor Samba Autenticacion Ldap

Estado Del Arte Autenticacion y Autorizacion_v2.3

Autenticacion Doble Factor

WordPress.com - Ejercicio configurar VPN …...Si se usan para autenticacion, un certificado demuestra que el usuario, equipo, servicio, …, es quien dice ser. La CA es quien garantiza

Tema 03 Autenticacion User Py Gestion Pedidos 130913143342 Phpapp01

Autenticacion de Conexión a SQL

3RSLMHYNH 3UHG %RåDQVWYRPWYRMLP · 3rslmhynh g 5 5 5 5 5 55 5 5 5 5} 5 5 5 bb k 5 5 5 5 5 5 5 5 55 5b 5 5 5 b 5 5 ' 5 5 5 5 55 !55 !b5 5 5 5 5 5 5 5 55 5 5 55 5b !5 g 5 5} 5 5 5

ecoledz.weebly.com€¦  · Web viewEva Tim STEPS OF THE LESSON Tasks Strategies competencies . 5 5 5 . 5. 5. 5. 5. 5. 5. 5 5 5 5 5 5 5. 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5

Metodo de autenticacion por clave publica

Servicio de Autenticacion

Manual do Candidato - Montes Claros · 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 4 . - 3 2 1 0 / . - , + 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5

Inseguridad de los sistemas de autenticacion en aplicaciones web. Conferencias FIST

Autenticacion Openldap Modulos Pam_ldap Centos 6.2

Curso autenticacion robusta

Guía de doble autenticación - CODAJIC · guia-autenticacion-argcibersegura Created Date: 10/10/2013 10:18:58 AM

Sobre La Robustez de La Autenticacion

Identidad Digital (Modul 2 Autenticacion y Autorizacion en Aplicaciones Multiusuario)

Servidor de Autenticacion LDAP

5 Comptage permanent 5 3 5 Lég end 5 !. 5 - travaux.public.lu · 5 5 5 5 5 5 5 5 5 5 55 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5

Sistema de Autenticacion Basado en Biometria

13926596 Servidor Proxy Con Autenticacion de Usuarios de Servicio de Directorio

Unidad 3. Autenticacion

Optimización de la calidad de servicio y la experiencia de usuario en los servicios de firma y autenticacion (IGAE) - II Encuentro nacional sobre firma y administración electrónica

Autenticacion de Usuario en Java

(tesis)Sistema de autenticacion digital para el servicio

Implementacion Servidor Samba Autenticacion Ldap[1]

WebService wu Des naciones€¦ · 1,2 10/09/2014 A. Masferrer Actualización mensajes de Autenticacion ... Expo Parametros.Ing argumentoContenedor Resultado de Salida Estructura

Sistema de autenticacion biométrica

Sistemas de autenticacion y firma en tráfico (DGT) - II Encuentro nacional sobre firma y administración electrónica

ADO EN ASP.NET CON SQL SERVER ▫Crear formulario de Autenticacion ▫Crear página maestra ▫Crear página de clientes ▫Crear página de películas ▫Crear página

Tema04 Autenticacion de Usuario 140603190836 Phpapp01

ProyectoF3-Autenticacion Proyecto Foro en PHP mediante DNI Electrónico

Autenticacion windows+linux