De la Seguridad del acceso a datos en aplicaciones ASP ... - Willy .Net
De la Seguridad del acceso a datos en aplicaciones ASP ... - Willy .Net
De la Seguridad del acceso a datos en aplicaciones ASP ... - Willy .Net
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
aut<strong>en</strong>ticación de SQL <strong>en</strong> <strong>la</strong> aplicación es lo más segura posible, tal y como se<br />
explica más ade<strong>la</strong>nte <strong>en</strong> <strong>la</strong> sección "Aut<strong>en</strong>ticación de SQL" de este capítulo.<br />
Función de usuario único fr<strong>en</strong>te a funciones de varios usuarios.<br />
¿Necesita <strong>la</strong> aplicación t<strong>en</strong>er <strong>acceso</strong> a SQL mediante una única cu<strong>en</strong>ta con un<br />
conjunto fijo de permisos <strong>en</strong> <strong>la</strong> base de <strong>datos</strong> o se requier<strong>en</strong> varias cu<strong>en</strong>tas<br />
(basadas <strong>en</strong> funciones) según el usuario de <strong>la</strong> aplicación?<br />
Id<strong>en</strong>tidad <strong>del</strong> l<strong>la</strong>mador. ¿Necesita <strong>la</strong> base de <strong>datos</strong> recibir <strong>la</strong> id<strong>en</strong>tidad <strong>del</strong><br />
l<strong>la</strong>mador original a través <strong>del</strong> contexto de l<strong>la</strong>mada para llevar a cabo <strong>la</strong><br />
autorización o auditoría, o se puede utilizar una o varias conexiones de<br />
confianza y pasar <strong>la</strong> id<strong>en</strong>tidad <strong>del</strong> l<strong>la</strong>mador original <strong>en</strong> el nivel de <strong>la</strong> aplicación?<br />
Para que el sistema operativo transmita <strong>la</strong> id<strong>en</strong>tidad <strong>del</strong> l<strong>la</strong>mador original,<br />
necesita sup<strong>la</strong>ntación/<strong>del</strong>egación <strong>en</strong> el nivel medio. Esto reduce<br />
considerablem<strong>en</strong>te <strong>la</strong> eficacia de <strong>la</strong> agrupación de <strong>la</strong> conexión. La agrupación<br />
de <strong>la</strong> conexión sigue habilitada pero produce numerosos grupos pequeños<br />
(para cada uno de los contextos de seguridad) <strong>en</strong> los que <strong>la</strong> reutilización de <strong>la</strong>s<br />
conexiones es escasa o nu<strong>la</strong>.<br />
¿Se intercambian <strong>datos</strong> confid<strong>en</strong>ciales con el servidor de base de <strong>datos</strong>?<br />
Aunque <strong>en</strong> <strong>la</strong> aut<strong>en</strong>ticación de Windows no se exti<strong>en</strong>d<strong>en</strong> <strong>la</strong>s cred<strong>en</strong>ciales de<br />
usuario al servidor de base de <strong>datos</strong> a través de <strong>la</strong> red, si los <strong>datos</strong> de <strong>la</strong><br />
aplicación son confid<strong>en</strong>ciales (por ejemplo, detalles de los empleados o <strong>datos</strong><br />
de nóminas), deberían asegurarse mediante IPSec o SSL.<br />
Aut<strong>en</strong>ticación<br />
En esta sección se trata <strong>la</strong> forma <strong>en</strong> que debe aut<strong>en</strong>ticarse a los cli<strong>en</strong>tes <strong>en</strong> SQL<br />
Server y el modo <strong>en</strong> que debe elegirse una id<strong>en</strong>tidad para t<strong>en</strong>er <strong>acceso</strong> a <strong>la</strong> base de<br />
<strong>datos</strong> <strong>en</strong> <strong>aplicaciones</strong> cli<strong>en</strong>te, antes de conectarse a SQL Server.<br />
Aut<strong>en</strong>ticación de Windows<br />
La aut<strong>en</strong>ticación de Windows es más segura que <strong>la</strong> aut<strong>en</strong>ticación de SQL por los<br />
sigui<strong>en</strong>tes motivos:<br />
Las cred<strong>en</strong>ciales se administran automáticam<strong>en</strong>te y no se transmit<strong>en</strong> a través<br />
de <strong>la</strong> red.<br />
Se evita t<strong>en</strong>er que incrustar nombres de usuario y contraseñas <strong>en</strong> cad<strong>en</strong>as de<br />
conexión.<br />
La seguridad de inicio de sesión se mejora mediante los periodos de<br />
caducidad y <strong>la</strong> longitud mínima de <strong>la</strong>s contraseñas, así como los bloqueos de<br />
cu<strong>en</strong>ta después de varias solicitudes de inicio de sesión no válidas. <strong>De</strong> esta<br />
forma se reduce <strong>la</strong> am<strong>en</strong>aza de los ataques de diccionario.<br />
La aut<strong>en</strong>ticación de Windows se utiliza <strong>en</strong> los sigui<strong>en</strong>tes esc<strong>en</strong>arios:<br />
Ha utilizado el mo<strong>del</strong>o de subsistema de confianza y se conecta a SQL Server<br />
mediante una id<strong>en</strong>tidad fija única. Si se conecta desde <strong>ASP</strong>.NET, se supone<br />
que <strong>la</strong> aplicación Web no está configurada para <strong>la</strong> sup<strong>la</strong>ntación.<br />
En este esc<strong>en</strong>ario, utilice <strong>la</strong> id<strong>en</strong>tidad <strong>del</strong> proceso <strong>ASP</strong>.NET o una id<strong>en</strong>tidad de<br />
compon<strong>en</strong>te revisado (obt<strong>en</strong>ida de <strong>la</strong> cu<strong>en</strong>ta que se utilizó para ejecutar una<br />
aplicación <strong>del</strong> servidor de Servicios Empresariales).<br />
<strong>De</strong>lega, de forma int<strong>en</strong>cionada, el contexto de seguridad <strong>del</strong> l<strong>la</strong>mador original<br />
mediante el uso de <strong>la</strong> <strong>del</strong>egación (y se prepara para sacrificar <strong>la</strong> esca<strong>la</strong>bilidad<br />
de <strong>la</strong> aplicación anteponi<strong>en</strong>do <strong>la</strong> agrupación de <strong>la</strong> conexión a <strong>la</strong> base de<br />
<strong>datos</strong>).<br />
Cuando utilice <strong>la</strong> aut<strong>en</strong>ticación de Windows para conectarse a SQL Server, t<strong>en</strong>ga <strong>en</strong><br />
cu<strong>en</strong>ta los sigui<strong>en</strong>tes puntos importantes: