Curso de ASP.NET

En esta hoja podremos indicar la página por defecto del sitio Web. Cuando un usuario no especifique en el navegador ningún fichero en concreto de nuestro sitio Web se le mostrará esta página por defecto. Podemos indicar diferentes documentos predeterminados dentro de la lista que vemos a continuación:

El orden en el que se indican los documentos es significativo, el servidor Web devolverá el primero que encuentre. El orden de prioridad de los documentos lo podemos modificar utilizando las flechas. El documento predeterminado podrá ser tanto una página HTML como una página ASP.

Con la opción inferior "Habilitar pie de página del documento" podremos configurar el servidor Web para que inserte de manera automática un fichero en formato HTML en la parte inferior de todos los documentos del sitio Web.

En esta hoja de propiedades vamos a poder establecer los valores de las cabeceras HTTP que se envíen a nuestros clientes (navegadores Web). Puesto que no nos van a afectar mucho para nuestra intranet las enumeraremos para que el alumno las identifique...

Si activamos la casilla de verificación Habilitar caducidad de contenido nos permitirá establecer el momento en el que la información de la página se considera no válida u obsoleta (ha caducado), el navegador Web comparará la fecha del sistema con la de la página que le llega y determinará si se visualiza la página almacenada en la caché o bien pedirá una actualización de la misma.

En la propiedad Encabezados HTTP personalizados podremos enviar un encabezado HTTP personalizado del servidor Web al navegador del equipo cliente.

Las páginas Web pueden incorporar cabeceras con información que identifique sus contenidos desde un punto de vista moral, la configuración de estas cabeceras la realizaremos a través del apartado "Restricción de contenido". De esta manera los usuarios pueden filtrar las páginas en función de ese contenido. IIS utiliza un método desarrollado por el organismo RSAC (Recreational Software Advisory Council) que clasifica los contenidos atendiendo a diversos grados de violencia, pornografía y lenguaje ofensivo. Para establecer estas restricciones de contenido se debe pulsar el botón "Modificar clasificación".

En la opción Tipos MIME (Multipurpose Internet Mail Extensions) podemos determinar los tipos de archivos que se enviarán al cliente Web.

Esta es una de las partes mas complejas de la administración del sitio web con IIS. No es que revista dificultad sino que son los parámetros que van a determinar cómo va a funcionar nuestra Intranet. Además concederá y negará el acceso a usuarios y otros aspectos relativos a la seguridad.

Estas son las tres secciones referentes a la seguridad y los permisos. La tercera parte la dejaremos porque escapa al objeto de nuestra intranet al entrar en el campo de los certificados y la seguridad SSL, nos centraremos en las dos primeras. De ellas la primera parte es la fundamental para establecer el comportamiento del servidor.

En este capítulo explicaremos con profundidad el tema de la autenticación y en el siguiente lo resumiremos y nos quedaremos ya con e la configuración apropiada para nuestra intranet. Podemos configurar IIS para autenticar o determinar la identidad de la cuenta de un usuario de Windows, antes de permitir que éste establezca una conexión de red con su servidor. Sin embargo, la autenticación de los usuarios sólo tendrá lugar cuando esté desactivado el acceso anónimo o cuando los permisos NTFS requieran que los usuarios se identifiquen con el nombre y la contraseña de una cuenta de usuario válida de Windows.

Con las opciones de autenticación que ofrece IIS, podemos elegir un método de autenticación que se ajuste a los requisitos de seguridad y a las capacidades del explorador Web del usuario.

Puede especificar que los usuarios proporcionen el nombre de usuario y la contraseña de una cuenta de usuario válida de Microsoft Windows para poder tener acceso a cualquier información del servidor. Este proceso de identificación recibe el nombre de autenticación. La autenticación, como muchas de las características de IIS, se puede establecer para sitios Web, directorios o archivos. IIS proporciona los siguientes métodos de autenticación para controlar el acceso al contenido del servidor. Veamos los métodos mas importantes

Autenticación anónima

La autenticación anónima proporciona a los usuarios acceso a las áreas públicas del sitio Web o FTP sin preguntar el nombre de usuario o la contraseña. Cuando un usuario intenta conectarse al sitio Web o FTP público, el servidor Web le asigna la cuenta de usuario de Windows llamada IUSR_nombre_equipo, donde nombre_equipo es el nombre del servidor en el que se ejecuta IIS. De manera predeterminada, la cuenta IUSR_nombre_equipo está incluida en el grupo de usuarios Invitados de Windows. Este grupo tiene restricciones de seguridad impuestas por los permisos NTFS, que designan el nivel de acceso y el tipo de contenido que hay a disposición de los usuarios públicos.

Si tiene varios sitios en el servidor o si tiene áreas de su sitio que requieren diferentes privilegios de acceso, puede crear varias cuentas anónimas, una para cada sitio Web o FTP, directorio o archivo. Al dar a estas cuentas diferentes permisos de acceso o al asignar estas cuentas a grupos de usuarios de Windows diferentes, puede otorgar a los usuarios acceso anónimo a distintas áreas de contenido público Web y FTP.

1. La cuenta IUSR_nombre_equipo se agrega al grupo Invitados del equipo IIS durante la instalación.
2. Cuando se recibe una solicitud, IIS suplanta la cuenta IUSR_nombre_equipo antes de ejecutar cualquier código o de tener acceso a cualquier archivo. IIS puede suplantar la cuenta IUSR_nombre_equipo porque conoce el nombre de usuario y la contraseña de esta cuenta.
3. Antes de devolver una página al cliente, IIS comprueba los permisos de archivos y directorios NTFS para determinar si la cuenta IUSR_nombre_equipo tiene acceso al archivo.
4. Si está permitido el acceso, se completará la autenticación y los recursos estarán disponibles para el usuario.
5. Si no está permitido el acceso, IIS intentará utilizar otro método de autenticación. Si no hay ninguno seleccionado, IIS devolverá al explorador un mensaje de error "HTTP 403 Acceso denegado".

La cuenta anónima debe tener el derecho de usuario para el inicio de sesión local. Si la cuenta no tiene el permiso Inicio de sesión local, IIS no podrá atender ninguna solicitud anónima. La instalación de IIS concede específicamente el permiso Inicio de sesión local a la cuenta IUSR_nombre_equipo. De forma predeterminada, las cuentas IUSR_nombre_equipo de los controladores de dominio no se asignan a las cuentas de invitados. Para permitir inicios de sesión anónimos, debemos cambiar las cuentas IUSR__nombre_equipo a Inicio de sesión local

Autenticación básica

La autenticación básica es un método estándar muy extendido para recopilar información de nombre de usuario y contraseña. El proceso para autenticar se realiza de la siguiente forma:

1. El explorador Web Internet Explorer muestra un cuadro de diálogo en el que el usuario debe escribir su nombre de usuario y contraseña de Windows previamente asignados, que también se conocen como credenciales.
2. El explorador Web intentará establecer la conexión con un servidor, mediante las credenciales del usuario. La contraseña de texto simple se codifica en Base64 antes de enviarla a través de la red.
   • Importante   La codificación en Base64 no es un cifrado. Si una contraseña codificada en Base64 es interceptada en la red por un husmeador de redes, la contraseña puede ser descodificada y utilizada por personas no autorizadas.
3.  Si las credenciales de un usuario son rechazadas, Internet Explorer muestra una ventana de diálogo de autenticación para que el usuario vuelva a escribir sus credenciales. En Internet Explorer se permite al usuario tres intentos de conexión antes de informarle de que no se puede establecer la conexión.
4. Cuando el servidor Web compruebe que el nombre de usuario y la contraseña corresponden a una cuenta de usuario válida de Microsoft Windows, se establecerá una conexión.

La autenticación básica tiene la ventaja de que forma parte de la especificación HTTP y es compatible con la mayoría de los exploradores. La desventaja de los exploradores Web que utilizan la autenticación básica es que transmiten las contraseñas sin cifrar. Mediante la supervisión de las comunicaciones en la red, alguien podría fácilmente interceptar y descodificar estas contraseñas mediante herramientas de dominio público. Por tanto, la Autenticación básica no es recomendable a menos que tenga la seguridad de que la conexión entre el usuario y el servidor Web sea segura, como una línea dedicada o una conexión Capa de sockets seguros (SSL)

Autenticación de texto implícita

La autenticación de texto implícita ofrece la misma funcionalidad que la autenticación básica. Sin embargo, la autenticación de texto implícita supone una mejora en la seguridad debido a la forma en que se envían las credenciales del usuario a través de la red. La autenticación de texto implícita transmite las credenciales a través de la red como un hash MD5, también conocido como mensaje implícito, en el que el nombre de usuario y la contraseña originales no pueden descifrarse del hash. La autenticación de texto implícita está disponible para los directorios del Sistema distribuido de creación y control de versiones Web (WebDAV).

Antes de habilitar la autenticación de texto implícita en el servidor IIS, asegúrese de que se cumplen los requisitos mínimos siguientes. Sólo los administradores de dominio pueden comprobar que se cumplen los requisitos del controlador de dominio (DC). Si tiene dudas, consulte al administrador del dominio si el controlador del dominio cumple con los requisitos siguientes:

Todos los clientes que tienen acceso a un recurso protegido con autenticación de texto implícita van a utilizar Internet Explorer 5.0 o posterior.

• El usuario y el servidor IIS deben ser miembros o tener la confianza del mismo dominio.
• Los usuarios deben tener una cuenta válida de usuario de Windows almacenada en Active Directory en el controlador de dominio.
• El controlador del dominio debe ser un equipo con Windows 2000 o posterior.
• El servidor IIS debe ser un equipo con Windows 2000 o posterior.

Autenticación de Windows integrada

La autenticación de Windows integrada (anteriormente llamada NTLM, también denominada autenticación de desafío y respuesta de Windows NT) es un método seguro de autenticación, ya que el nombre de usuario y la contraseña se procesan con el método de hash antes de enviarlos a través de la red. Al habilitar la autenticación de Windows integrada, el explorador del usuario demuestra que conoce la contraseña mediante un intercambio criptográfico con el servidor Web, en el que interviene el método de hash.

La autenticación de Windows integrada utiliza los métodos de autenticación Kerberos v5 y NTLM. Si los servicios Active Directory están instalados en un controlador de dominio con Windows 2000 o posterior y el explorador del usuario es compatible con el protocolo de autenticación Kerberos v5, se utilizará la autenticación Kerberos v5; de lo contrario, se utilizará la autenticación NTLM.

Traduciendo este definición digamos que el navegador no se valida cada vez, sino que envía los credenciales del dominio/usuario y establece una comunicación donde no vuelve a enviar la contraseña. Es el mejor sistema para una Intranet pero debemos tener un sistema de dominios instalado en nuestra red.

Revisamos ya con la consola administrativa los niveles de seguridad que son:

Y corresponden a:

• Autenticación anónima: permite que cualquier usuario tenga acceso sin que se le pida su nombre de usuario y contraseña.
• Autenticación básica: solicita al usuario su nombre de usuario y contraseña, que se envían sin cifrar a través de la red.
• Autenticación de texto implícita:  funciona de manera similar a la autenticación básica, pero difiere de ella en que las contraseñas se envían como un valor de hash. La autenticación de texto implícita sólo está disponible para los dominios con un controlador de dominio de Windows 2000.
• Autenticación de texto implícita avanzada La autenticación de texto implícita avanzada es idéntica a la autenticación de texto implícita, excepto en que la avanzada almacena las credenciales de cliente como un hash MD5 de Active Directory en el controlador de dominio de Windows XP para mejorar la seguridad.
• La autenticación de Windows integrada utiliza la tecnología de hash para identificar al usuario sin enviar realmente la contraseña a través de la red.

Si utilizamos la primera opción el acceso será anónimo y no tendremos ningún tipo de identificación a lo largo de la sesión del usuario. Es una seguridad propia para un web de Internet, ya que nadie debe, en principio, identificarse. La segunda opción la rechazamos inmediatamente por no tener ningún tipo de seguridad a la hora de transmitir la contraseña.

Y de las demás nos quedamos con la "Seguridad Integrada" Esta envía los credenciales del usuario en cada petición. Esto funcionalmente hace que desde ASP podamos saber siempre que usuario ha solicitado la página. Como veremos en el capítulo 10 es un aspecto fundamental a la hora de manejar una Intranet.

Otro de los métodos para controlar el acceso es a través de las direcciones IP. Si observamos la siguiente pantalla:

Observamos que podemos indicar una dirección IP que será la o las excepciones de lo que indiquemos. Es decir, en el ejemplo por defecto se les deniega a todos el acceso excepto para la dirección 127.0.0.1, que es una dirección especial que indica al propio equipo.

Esta restricción la tiene el web de administración de nuestro IIS. Si recuerda el alumno no nos funcionaban las páginas web del sitio de administración mas que en el propio servidor. Esta es la razón. Si queremos conceder acceso a alguna dirección IP en particular, la podemos realizar desde aquí.