metodos de autenticación de redes.
Protocolo de autenticación de contraseña (PAP)
El Protocolo de autenticación de contraseña (PAP, Password
Authentication Protocol) es un protocolo de autenticación simple en
el que el nombre de usuario y la contraseña se envían al servidor
de acceso remoto como texto simple (sin cifrar). No se recomienda
utilizar PAP, ya que las contraseñas pueden leerse fácilmente en
los paquetes del Protocolo punto a punto (PPP, Point-to-Point
Protocol) intercambiados durante el proceso de autenticación. PAP
suele utilizarse únicamente al conectar a servidores de acceso
remoto antiguos basados en UNIX que no admiten métodos de
autenticación más seguros.
Para configurar una conexión con PAP, vea Configurar la autenticación de la identidad y el cifrado de datos.
Para configurar una conexión con PAP, vea Configurar la autenticación de la identidad y el cifrado de datos.
Protocolo de autenticación por desafío mutuo (CHAP)
El Protocolo de autenticación por
desafío mutuo (CHAP, Challenge Handshake Authentication Protocol)
es un método de autenticación muy utilizado en el que se envía
una representación de la contraseña del usuario, no la propia
contraseña. Con CHAP, el servidor de acceso remoto envía un
desafío al cliente de acceso remoto. El cliente de acceso remoto
utiliza un algoritmo hash (también denominado función hash) para
calcular un resultado hash de Message Digest-5 (MD5) basado en el
desafío y un resultado hash calculado con la contraseña del
usuario. El cliente de acceso remoto envía el resultado hash MD5 al
servidor de acceso remoto. El servidor de acceso remoto, que también
tiene acceso al resultado hash de la contraseña del usuario,
realiza el mismo cálculo con el algoritmo hash y compara el
resultado con el que envió el cliente. Si los resultados coinciden,
las credenciales del cliente de acceso remoto se consideran
auténticas. El algoritmo hash proporciona cifrado unidireccional,
lo que significa que es sencillo calcular el resultado hash para un
bloque de datos, pero resulta matemáticamente imposible determinar
el bloque de datos original a partir del resultado hash.
Para configurar una conexión con CHAP, consulte Configurar la autenticación de la identidad y el cifrado de datos.
Para configurar una conexión con CHAP, consulte Configurar la autenticación de la identidad y el cifrado de datos.
Protocolo de autenticación de contraseña de Shiva (SPAP)
El Protocolo de autenticación de
contraseña de Shiva (SPAP, Shiva Password Authentication Protocol)
es un protocolo de autenticación simple de contraseña cifrada
compatible con servidores de acceso remoto de Shiva. Con SPAP, el
cliente de acceso remoto envía una contraseña cifrada al servidor
de acceso remoto. SPAP utiliza un algoritmo de cifrado
bidireccional. El servidor de acceso remoto descifra la contraseña
y utiliza el formato sin cifrar para autenticar al cliente de acceso
remoto.
Para configurar una conexión con SPAP, consulte Configurar la autenticación de la identidad y el cifrado de datos.
Para configurar una conexión con SPAP, consulte Configurar la autenticación de la identidad y el cifrado de datos.
Protocolo de autenticación por desafío mutuo de Microsoft (MS-CHAP)
Microsoft creó MS-CHAP para
autenticar estaciones de trabajo Windows remotas, integrando la
funcionalidad a la que los usuarios de redes LAN están habituados
con los algoritmos de hash utilizados en las redes Windows. Al igual
que CHAP, MS-CHAP utiliza un mecanismo de desafío y respuesta para
autenticar conexiones sin enviar contraseñas.
MS-CHAP utiliza el algoritmo de hash de Message Digest 4 (MD4) y el algoritmo de cifrado de Estándar de cifrado de datos (DES, Data Encryption Standard) para generar el desafío y la respuesta. MS-CHAP también proporciona mecanismos para informar acerca de errores de conexión y para cambiar la contraseña del usuario. El paquete de respuesta está en un formato diseñado para funcionar con productos de redes en Windows 95, Windows 98, Windows Millennium Edition, Windows NT, Windows 2000, Windows XP y la familia Windows Server 2003.
Para configurar una conexión con MS-CHAP, vea Configurar la autenticación de la identidad y el cifrado de datos.
MS-CHAP utiliza el algoritmo de hash de Message Digest 4 (MD4) y el algoritmo de cifrado de Estándar de cifrado de datos (DES, Data Encryption Standard) para generar el desafío y la respuesta. MS-CHAP también proporciona mecanismos para informar acerca de errores de conexión y para cambiar la contraseña del usuario. El paquete de respuesta está en un formato diseñado para funcionar con productos de redes en Windows 95, Windows 98, Windows Millennium Edition, Windows NT, Windows 2000, Windows XP y la familia Windows Server 2003.
Para configurar una conexión con MS-CHAP, vea Configurar la autenticación de la identidad y el cifrado de datos.
Protocolo de autenticación por desafío mutuo de Microsoft versión 2 (MS-CHAP v2)
La familia Windows Server 2003
admite MS-CHAP v2, que proporciona autenticación mutua, la
generación de claves de cifrado de datos iniciales más seguras
para Cifrado punto a punto de Microsoft (MPPE) y distintas claves de
cifrado para los datos enviados y los datos recibidos. Para reducir
al mínimo el riesgo de que una contraseña se vea comprometida
durante su cambio, no se admiten métodos más antiguos que el
cambio de contraseña de MS-CHAP.
Como MS-CHAP v2 es más seguro que MS-CHAP, se ofrece antes que MS-CHAP (si está habilitado) para todas las conexiones.
MS-CHAP v2 puede utilizarse en equipos que ejecutan Windows XP, Windows 2000, Windows 98, Windows Millennium Edition y Windows NT versión 4.0. Los equipos que ejecutan Windows 95 sólo admiten MS-CHAP v2 para las conexiones VPN, no para las de acceso telefónico.
Para configurar una conexión con MS-CHAP v2, vea Configurar la autenticación de la identidad y el cifrado de datos.
Como MS-CHAP v2 es más seguro que MS-CHAP, se ofrece antes que MS-CHAP (si está habilitado) para todas las conexiones.
MS-CHAP v2 puede utilizarse en equipos que ejecutan Windows XP, Windows 2000, Windows 98, Windows Millennium Edition y Windows NT versión 4.0. Los equipos que ejecutan Windows 95 sólo admiten MS-CHAP v2 para las conexiones VPN, no para las de acceso telefónico.
Para configurar una conexión con MS-CHAP v2, vea Configurar la autenticación de la identidad y el cifrado de datos.
Protocolo de autenticación extensible (EAP)
El Protocolo de autenticación
extensible (EAP, Extensible Authentication Protocol) es una
extensión del Protocolo punto a punto (PPP) que admite métodos de
autenticación arbitrarios que utilizan intercambios de credenciales
e información de longitudes arbitrarias. EAP se ha desarrollado
como respuesta a la creciente demanda de métodos de autenticación
que utilizan dispositivos de seguridad, como las tarjetas
inteligentes, tarjetas de identificación y calculadoras de cifrado.
EAP proporciona una arquitectura estándar para aceptar métodos de
autenticación adicionales junto con PPP.
Mediante EAP, se pueden admitir esquemas de autenticación adicionales, conocidos como tipos EAP. Entre estos esquemas se incluyen las tarjetas de identificación, contraseñas de un solo uso, autenticación por clave pública mediante tarjetas inteligentes y certificados. EAP, junto con los tipos de EAP seguros, es un componente tecnológico crítico para las conexiones de red privada virtual (VPN) seguras. Los tipos EAP seguros, como los basados en certificados, ofrecen mayor seguridad frente a ataques físicos o de diccionario, y de investigación de contraseñas, que otros métodos de autenticación basados en contraseña, como CHAP o MS-CHAP.
Para averiguar si se está utilizando un tipo de EAP en su organización, póngase en contacto con el administrador de la red.
Para configurar una conexión con EAP, vea Configurar la autenticación de la identidad y el cifrado de datos.
La familia Windows Server 2003 admite dos tipos de EAP:
Mediante EAP, se pueden admitir esquemas de autenticación adicionales, conocidos como tipos EAP. Entre estos esquemas se incluyen las tarjetas de identificación, contraseñas de un solo uso, autenticación por clave pública mediante tarjetas inteligentes y certificados. EAP, junto con los tipos de EAP seguros, es un componente tecnológico crítico para las conexiones de red privada virtual (VPN) seguras. Los tipos EAP seguros, como los basados en certificados, ofrecen mayor seguridad frente a ataques físicos o de diccionario, y de investigación de contraseñas, que otros métodos de autenticación basados en contraseña, como CHAP o MS-CHAP.
Para averiguar si se está utilizando un tipo de EAP en su organización, póngase en contacto con el administrador de la red.
Para configurar una conexión con EAP, vea Configurar la autenticación de la identidad y el cifrado de datos.
La familia Windows Server 2003 admite dos tipos de EAP:
- EAP-MD5 CHAP (equivalente al protocolo de autenticación CHAP)
- EAP-TLS (utilizado para autenticación basada en
certificados de usuario).
Protocolo de autenticación extensible (EAP)
El Protocolo de autenticación
extensible (EAP, Extensible Authentication Protocol) es una
extensión del Protocolo punto a punto (PPP) que admite métodos de
autenticación arbitrarios que utilizan intercambios de credenciales
e información de longitudes arbitrarias. EAP se ha desarrollado
como respuesta a la creciente demanda de métodos de autenticación
que utilizan dispositivos de seguridad, como las tarjetas
inteligentes, tarjetas de identificación y calculadoras de cifrado.
EAP proporciona una arquitectura estándar para aceptar métodos de
autenticación adicionales junto con PPP.
Mediante EAP, se pueden admitir esquemas de autenticación adicionales, conocidos como tipos EAP. Entre estos esquemas se incluyen las tarjetas de identificación, contraseñas de un solo uso, autenticación por clave pública mediante tarjetas inteligentes y certificados. EAP, junto con los tipos de EAP seguros, es un componente tecnológico crítico para las conexiones de red privada virtual (VPN) seguras. Los tipos EAP seguros, como los basados en certificados, ofrecen mayor seguridad frente a ataques físicos o de diccionario, y de investigación de contraseñas, que otros métodos de autenticación basados en contraseña, como CHAP o MS-CHAP.
Para averiguar si se está utilizando un tipo de EAP en su organización, póngase en contacto con el administrador de la red.
Para configurar una conexión con EAP, vea Configurar la autenticación de la identidad y el cifrado de datos.
La familia Windows Server 2003 admite dos tipos de EAP:
Mediante EAP, se pueden admitir esquemas de autenticación adicionales, conocidos como tipos EAP. Entre estos esquemas se incluyen las tarjetas de identificación, contraseñas de un solo uso, autenticación por clave pública mediante tarjetas inteligentes y certificados. EAP, junto con los tipos de EAP seguros, es un componente tecnológico crítico para las conexiones de red privada virtual (VPN) seguras. Los tipos EAP seguros, como los basados en certificados, ofrecen mayor seguridad frente a ataques físicos o de diccionario, y de investigación de contraseñas, que otros métodos de autenticación basados en contraseña, como CHAP o MS-CHAP.
Para averiguar si se está utilizando un tipo de EAP en su organización, póngase en contacto con el administrador de la red.
Para configurar una conexión con EAP, vea Configurar la autenticación de la identidad y el cifrado de datos.
La familia Windows Server 2003 admite dos tipos de EAP:
- EAP-MD5 CHAP (equivalente al protocolo de autenticación CHAP)
- EAP-TLS (utilizado para autenticación basada en
certificados de usuario).
Autenticación por tarjeta inteligente y otros certificados
Si tiene un certificado de usuario
instalado en el almacén de certificados del equipo o en una tarjeta
inteligente, el Protocolo
de autenticación extensible (EAP) está habilitado y el tipo
EAP (EAP-TLS) Tarjeta inteligente u otro certificado
está seleccionado, puede utilizar autenticación basada en
certificados en un único proceso de inicio de sesión en la red, lo
que proporciona un almacenamiento resistente a intrusos para la
información de autenticación.
Un certificado es un conjunto de credenciales de autenticación cifradas. El certificado incluye una firma digital de la entidad emisora de certificados que ha emitido el certificado. En el proceso de autenticación mediante certificados de EAP-TLS, el equipo presenta su certificado de usuario al servidor de acceso remoto y el servidor presenta al equipo su certificado de equipo; por tanto, la autenticación es mutua. Los certificados se autentican mediante una clave pública que comprueba la firma digital incluida. La firma digital está contenida en un certificado de una emisora de certificados raíz de confianza almacenado en el equipo. Estos certificados raíz de confianza son la base de la comprobación de certificados. En la familia Windows Server 2003 se proporcionan muchos certificados raíz de confianza. Sólo debe agregar o quitar certificados raíz en los que se confía si se lo aconseja el administrador del sistema.
Los certificados pueden residir en el almacén de certificados del equipo o en una tarjeta inteligente. Una tarjeta inteligente es un dispositivo del tamaño de una tarjeta de crédito que se inserta en lector de tarjetas inteligentes, que puede estar instalado internamente en el equipo o conectado de forma externa.
Si configura las opciones avanzadas de seguridad de una conexión, puede optar por utilizar una tarjeta inteligente u otro certificado, y puede especificar ciertos requisitos de los certificados. Por ejemplo, puede especificar que debe validarse el certificado de equipo del servidor, que el nombre del servidor debe terminar en un valor específico y que el certificado de equipo del servidor debe ser emitido por una entidad emisora de certificados raíz de confianza específica.
Cuando hace doble clic en Asistente para conexión nueva en la carpeta Conexiones de red y tiene instalado un lector de tarjetas inteligentes, Windows lo detecta y pide que lo utilice como método de autenticación para la conexión. Si decide no utilizar la tarjeta inteligente en el momento de crear la conexión, puede modificar la conexión posteriormente para que utilice la tarjeta inteligente u otro certificado. Para obtener más información, vea Habilitar la tarjeta inteligente y otros certificados.
Si es miembro de un dominio de Active Directory y necesita pedir un certificado, vea Solicitar un certificado. Si no es miembro de un dominio de Active Directory activo o necesita pedir un certificado desde Internet, vea Enviar una solicitud de certificado de usuario a través del Web. Para obtener información acerca de usuarios móviles y certificados, vea Usuarios móviles y certificados.
Un certificado es un conjunto de credenciales de autenticación cifradas. El certificado incluye una firma digital de la entidad emisora de certificados que ha emitido el certificado. En el proceso de autenticación mediante certificados de EAP-TLS, el equipo presenta su certificado de usuario al servidor de acceso remoto y el servidor presenta al equipo su certificado de equipo; por tanto, la autenticación es mutua. Los certificados se autentican mediante una clave pública que comprueba la firma digital incluida. La firma digital está contenida en un certificado de una emisora de certificados raíz de confianza almacenado en el equipo. Estos certificados raíz de confianza son la base de la comprobación de certificados. En la familia Windows Server 2003 se proporcionan muchos certificados raíz de confianza. Sólo debe agregar o quitar certificados raíz en los que se confía si se lo aconseja el administrador del sistema.
Los certificados pueden residir en el almacén de certificados del equipo o en una tarjeta inteligente. Una tarjeta inteligente es un dispositivo del tamaño de una tarjeta de crédito que se inserta en lector de tarjetas inteligentes, que puede estar instalado internamente en el equipo o conectado de forma externa.
Si configura las opciones avanzadas de seguridad de una conexión, puede optar por utilizar una tarjeta inteligente u otro certificado, y puede especificar ciertos requisitos de los certificados. Por ejemplo, puede especificar que debe validarse el certificado de equipo del servidor, que el nombre del servidor debe terminar en un valor específico y que el certificado de equipo del servidor debe ser emitido por una entidad emisora de certificados raíz de confianza específica.
Cuando hace doble clic en Asistente para conexión nueva en la carpeta Conexiones de red y tiene instalado un lector de tarjetas inteligentes, Windows lo detecta y pide que lo utilice como método de autenticación para la conexión. Si decide no utilizar la tarjeta inteligente en el momento de crear la conexión, puede modificar la conexión posteriormente para que utilice la tarjeta inteligente u otro certificado. Para obtener más información, vea Habilitar la tarjeta inteligente y otros certificados.
Si es miembro de un dominio de Active Directory y necesita pedir un certificado, vea Solicitar un certificado. Si no es miembro de un dominio de Active Directory activo o necesita pedir un certificado desde Internet, vea Enviar una solicitud de certificado de usuario a través del Web. Para obtener información acerca de usuarios móviles y certificados, vea Usuarios móviles y certificados.
No hay comentarios:
Publicar un comentario