De la seguridad en Servicios Web para .Net - Willy .Net

More documents

Recommendations

Info

Web de ASP.NET porque dicha aplicación no dispone de ningún perfil de usuariocargado ni de almacén de certificados asociado. El proceso independiente debeconfigurarse para que se ejecute con una cuenta dotada de un perfil de usuarioasociado (y almacén de certificados). Existen dos opciones básicamente:Utilizar una aplicación de servidor de Servicios EmpresarialesUtilizar un servicio WindowsLa ilustración 10.9 muestra este escenario con una aplicación servidor de ServiciosEmpresariales.{Insert figure: CH10 - Web Service Certificate Authentication.gif}Ilustración 10.9Autenticación mediante certificados con servicios WebA continuación se resume la secuencia de eventos que recopila ilustración 10.9.1. La aplicación Web autentica al llamador original mediante certificados decliente.2. La aplicación Web es el equipo selector y, por lo tanto, responsable deautorizar el acceso a determinadas áreas de funcionalidad (incluidas aquéllasque suponen interacción con el servicio Web).3. La aplicación Web llama a un componente revisado mediante la ejecución deuna aplicación de Servicios Empresariales fuera de proceso.4. La cuenta utilizada para ejecutar la aplicación de Servicios Empresarialesdispone de un perfil de usuario asociado. El componente obtiene acceso alcertificado del cliente desde su almacén de certificados, que lo utiliza elservicio Web para autenticar la aplicación Web.5. El componente revisado llama al servicio Web y transmite el certificado delcliente en cada solicitud de método. El servicio Web autentica la aplicaciónWeb mediante este certificado y confía en la aplicación Web para que autoricecorrectamente a los llamadores originales.¿Por qué utilizar un proceso adicional?La necesidad de un proceso adicional (en vez de utilizar el proceso WebAspnet_wp.exe para ponerse en contacto con el servicio Web) se debe a que serequiere un perfil de usuario (que contenga un almacén de certificados).
Una aplicación Web que se ejecuta mediante la cuenta ASPNET no tiene acceso aninguno de los certificados del servidor Web. El motivo radica en que los almacenesde certificados se conservan en los perfiles de usuario asociados a las cuentas deusuario interactivas. Los perfiles de usuario se crean exclusivamente para lascuentas interactivas cuando se inicia una sesión física con dichas cuentas. Elobjetivo de la cuenta ASPNET no consiste en actuar como una cuenta de usuariointeractiva y se configura con el privilegio "Denegar inicio de sesión interactivo" a finde mejorar la seguridad.Importante: no vuelva a configurar la cuenta ASPNET para eliminar este privilegioy convertirla en una cuenta de inicio de sesión interactivo. Utilice un procesoindependiente con una cuenta de servicio configurada para obtener acceso a loscertificados, como se ha descrito anteriormente en este capítulo.Más informaciónPara obtener más información acerca de cómo implementar este enfoque,consulte "Cómo llamar a un servicio Web mediante certificados de cliente deASPNET" en la sección de referencia de este manual.Para obtener más información acerca de la configuración de IPSec, consulte"Cómo utilizar IPSec para garantizar una comunicación segura entre dosservidores" en la sección de referencia de este manual.Comunicación seguraLa comunicación segura hace referencia a la protección de la integridad y laconfidencialidad de los mensajes del servicio Web conforme se transmiten deaplicación en aplicación a través de la red. Se han desarrollado dos enfoques parasolucionar este problema: opciones para el transporte y opciones para los mensajes.Opciones para el transporteLas opciones para el transporte incluyen:SSLIPSecEstas opciones resultan apropiadas cuando se cumplen las siguientes condiciones:Se envía un mensaje directamente desde la aplicación a un servicio Web sinque el mensaje se enrute a través de ningún sistema intermedio.Es posible controlar la configuración de los dos puntos finales implicados en latransferencia del mensaje.Opciones para los mensajesLos enfoques relativos a los mensajes permiten proteger la confidencialidad eintegridad de los mensajes cuando pasan por un número arbitrario de sistemasintermedios. Existe la posibilidad de firmar los mensajes para dotarlos de integridad.En cuanto a la confidencialidad, puede elegir entre cifrar la totalidad del mensaje oúnicamente una parte del mismo.Utilice un enfoque para mensajes cuando se cumplan las siguientes condiciones:Se envía un mensaje a un servicio Web y es probable que el mensaje sereenvíe a otros servicios Web o que se enrute a través de sistemasintermedios.No se tiene control sobre la configuración de los dos puntos finales; porejemplo, porque se envían mensajes de una empresa a otra.
Page 1 and 2: De la seguridad en Servicios Web pa
Page 3 and 4: mecanismos de transporte y la confi
Page 5 and 6: Arquitectura de seguridad paraplata
Page 7 and 8: Estrategias de autenticación y aut
Page 9 and 10: Más informaciónSi desea obtener m
Page 11 and 12: amenaza en caso de que un intruso p
Page 13 and 14: habilitados estos protocolos en los
Page 15 and 16: En este ejemplo, el tipo de autenti
Page 17 and 18: Utilice el código presentado a con
Page 19 and 20: Deshabilitar el accesoanónimo para
Page 21 and 22: - O bien -Para utilizar laautentica
Page 23 and 24: lleguen al servicio Web. En el serv
Page 25 and 26: Obtener acceso a recursos del siste
Page 27: {Insert figure: CH10 - Web Service

De la seguridad en Servicios Web para .Net - Willy .Net

Create successful ePaper yourself

Delete template?

Save as template?