Exportar (0) Imprimir
Expandir todo

Capítulo 6: Seguridad de extranet

Publicado: 26 de junio de 2006

J.D. Meier, Alex Mackman, Michael Dunner y Srinath Vasireddy
Microsoft Corporation
Octubre de 2002

Consulte la Página de entrada como punto de partida y para obtener una descripción completa del documento Crear aplicaciones ASP.NET seguras.

Resumen: En este capítulo se describe la forma de establecer la seguridad en escenarios comunes de aplicación para extranet. Presenta las características de cada escenario y describe los pasos necesarios para establecer la seguridad de los mismos. También se incluyen secciones de análisis con el fin de proporcionar más información.

Las aplicaciones para extranet comparten recursos o aplicaciones entre varias empresas o divisiones. Las aplicaciones y los recursos se exponen a través de Internet. Uno de los principales retos que deben superar las aplicaciones para extranet es desarrollar un enfoque de autenticación que acepten ambas partes. En este aspecto sus opciones pueden estar limitadas, ya que podría tener que interoperar con mecanismos de autenticación existentes.

En general, las aplicaciones para extranet tienen algunas características comunes:

  • Ofrecen mayor control sobre las cuentas de usuario, en comparación con los escenarios de Internet.

  • Proporcionan mayor nivel de confianza para las cuentas de usuario, a diferencia de las aplicaciones que tienen usuarios de Internet.

Los escenarios presentados en este capítulo para ilustrar las técnicas recomendadas de autenticación, autorización y comunicación segura son:

  • Exponer un servicio Web

  • Exponer una aplicación Web

En esta página

Exponer un servicio Web Exponer un servicio Web
Exponer una aplicación Web Exponer una aplicación Web
Resumen Resumen

Exponer un servicio Web

Considere un escenario de intercambio entre empresas asociadas en el que una empresa editorial publica y vende sus servicios a través de Internet. Expone información a empresas asociadas seleccionadas, mediante un servicio Web. Los usuarios de cada empresa asociada tienen acceso al servicio Web mediante una aplicación Web interna basada en Intranet. Este escenario se muestra en la ilustración 6.1.

imagen

Ilustración 6.1
Intercambio entre empresas asociadas mediante servicio Web basado en extranet

Características

Este escenario tiene las siguientes características:

  • La empresa editorial expone un servicio Web a través de Internet.

  • La editorial valida las credenciales (certificados de cliente X.509) de la empresa asociada (no de usuarios individuales) para autorizar el acceso a los recursos. La editorial no necesita conocer los datos de inicio de sesión de los usuarios individuales de la empresa asociada.

  • Se asignan certificados de cliente a cuentas del servicio de directorio Active Directory® en la empresa editorial.

  • La extranet contiene un servicio Active Directory independiente del servicio Active Directory corporativo (interno). El servicio Active Directory de la extranet está en un bosque independiente que proporciona un límite de confianza independiente.

  • La autorización del servicio Web se basa en la cuenta de Active Directory asignada. Puede utilizar decisiones de autorización independientes basadas en la identidad de la empresa asociada (representada por cuentas de Active Directory independientes para cada empresa).

  • Se tiene acceso a la base de datos a través de una única conexión de confianza que corresponde a la identidad del proceso de servicio Web ASP.NET.

  • Los datos recuperados del servicio Web son confidenciales y debe establecerse la seguridad para su transferencia (internamente en la empresa editorial y externamente mientras se transmiten por Internet).

Establecer la seguridad del escenario

En este escenario, cada aplicación Web interna de la empresa asociada recupera datos de la empresa editorial a través del servicio Web y después presenta los datos recuperados a los usuarios. La editorial requiere un mecanismo seguro para autenticar empresas asociadas, aunque la identidad de los usuarios individuales en las empresas asociadas no es relevante.

Como los datos intercambiados entre las dos empresas a través de Internet son confidenciales, se debe utilizar SSL para establecer la seguridad de los mismos durante la transferencia.

Se utiliza un servidor de seguridad que sólo permite conexiones de entrada desde la dirección IP de las empresas asociadas de la extranet para evitar que otros usuarios de Internet no autorizados abran conexiones de red con el servidor del servicio Web.

Tabla 6.1: Medidas de seguridad

Categoría

Detalles

Autenticación

  • Las aplicaciones de las empresas asociadas utilizan certificados de cliente con cada solicitud al servicio Web.

  • Se asignan certificados de cliente de las empresas asociadas a las cuentas individuales de Active Directory.

  • Se utiliza autenticación de Windows® en la base de datos. Para conectar se utiliza la identidad del proceso de servicio Web ASP.NET. La base de datos confía en el servicio Web.

Autorización

  • El servicio Web utiliza autorización basada en funciones de .NET para comprobar que las cuentas de Active Directory autenticadas pertenecen a un grupo asociado.

Comunicación segura

  • Se utiliza SSL para establecer la seguridad de la comunicación entre la aplicación Web asociada y el servicio Web de la editorial.

  • Se utiliza IPSec para establecer la seguridad de todas las comunicaciones entre el servicio Web y la base de datos.

El resultado

La ilustración 6.2 muestra la configuración de seguridad recomendada para este escenario.

imagen

Ilustración 6.2
La configuración de seguridad recomendada para el escenario de intercambio entre empresas asociadas de servicio Web

Pasos para configurar la seguridad

Antes de empezar, debe consultar la forma de:

  • Crear cuentas de ASP.NET personalizadas (consulte "Cómo crear una cuenta personalizada para ejecutar ASP.NET" en la sección Referencia de esta guía)

  • Crear una cuenta de base de datos con privilegios mínimos (consulte el capítulo 12, " Seguridad del acceso a datos")

  • Configurar SSL en un servidor Web (consulte "Cómo configurar SSL en un servidor Web" en la sección Referencia de esta guía)

  • Configurar IPSec (consulte "Cómo utilizar IPSec para garantizar una comunicación segura entre dos servidores" en la sección Referencia de esta guía)

  • Configurar IPSec mediante servidores de seguridad (consulte el artículo Q233256, "How to Enable IPSec Traffic Through a Firewall" (en inglés), en Microsoft® Knowledge Base).

  • Llamar a un servicio Web con SSL (consulte "Cómo llamar a un servicio Web con SSL" en la sección Referencia de esta guía); debe aplicar esta solución técnica en la empresa asociada.

  • En este tema no se trata la administración de certificados ni la infraestructura necesaria; para obtener más información busque "Certificates and Authenticode" en Microsoft TechNet".

Configurar la aplicación asociada

En este capítulo no se ofrecen detalles sobre la aplicación asociada y su configuración de seguridad. Sin embargo, hay que considerar los siguientes puntos para facilitar la comunicación entre la aplicación asociada y el servicio Web:

  • La aplicación Web de la empresa asociada puede elegir un mecanismo de autenticación que le permita autenticar y autorizar a sus usuarios internos. Estos usuarios no se pasan al servicio Web para nueva autenticación.

  • La aplicación Web de la empresa asociada realiza llamadas al servicio Web en nombre del usuario. Los usuarios no pueden llamar directamente al servicio Web.

  • La aplicación Web de la empresa asociada utiliza un certificado de cliente para demostrar su identidad al servicio Web.

  • Si la aplicación asociada es una aplicación Web ASP.NET, deberá utilizar después un componente intermedio fuera del proceso (una aplicación de Servicios Empresariales o un servicio de Windows) para cargar el certificado y reenviarlo al servicio Web.

Para obtener más información sobre por qué es necesario hacer esto y cuáles son los pasos necesarios para hacerlo, consulte "Cómo llamar a un servicio Web utilizando certificados de cliente desde ASP.NET" en la sección Referencia de esta guía.

Configurar el servidor Web de la extranet

Configurar IIS

Paso

Más información

Deshabilitar el acceso anónimo para el directorio raíz virtual del servicio Web

Habilitar la autenticación de certificado para la raíz virtual de la aplicación Web y el servicio Web

Para trabajar con la configuración de autenticación de IIS, debe utilizar el complemento MMC de IIS. Seleccione el directorio virtual de la aplicación, haga clic con el botón secundario del mouse (ratón) y después haga clic en Propiedades.


Haga clic en la ficha Seguridad de directorios y después haga clic en Editar en el grupo Control de autenticación y acceso anónimo.

Consulte "Cómo configurar SSL en un servidor Web" en la sección Referencia de esta guía.
Consulte "Cómo llamar a un servicio Web utilizando certificados de cliente desde ASP.NET" en la sección Referencia de esta guía.

Configurar Active Directory (Extranet)

Paso

Más información

Configurar cuentas de Active Directory para representar a empresas asociadas

Se utiliza un servicio Active Directory de extranet independiente. Se encuentra en su propio bosque y es completamente independiente del servicio Active Directory corporativo.

Configurar la asignación de certificados

Consulte "Step-by-Step Guide to Mapping Certificates to User Accounts" en Microsoft TechNet.
Consulte también el artículo Q313070, "HOW TO: Configure Client Certificate Mappings in IIS 5.0" (en inglés) en Microsoft Knowledge Base.

Configurar ASP.NET (servicio Web)

Paso

Más información

Configurar el servicio Web ASP.NET para utilizar la autenticación de Windows

Edite el archivo Web.config en el directorio raíz virtual del servicio Web

Establezca el elemento <authentication> en:

<authentication mode="Windows" />

Restablecer la contraseña de la cuenta ASPNET (que se utiliza para ejecutar ASP.NET) a una contraseña segura conocida

Esto le permite crear una cuenta local duplicada (con el mismo nombre de usuario y la misma contraseña) en el servidor de bases de datos. Esto es necesario para permitir a la cuenta ASPNET responder a desafíos de autenticación de red del servidor de base de datos cuando se conecte mediante autenticación de Windows. Una alternativa es utilizar una cuenta de dominio con privilegios mínimos (si se permite la autenticación de Windows a través del servidor de seguridad).

Para obtener más información, consulte "Identidad del proceso de ASP.NET" en el capítulo 8, "Seguridad de ASP.NET". Edite el archivo Machine.config, que se encuentra en %windir%\Microsoft.NET\Framework\v1.0.3705\CONFIG Establezca los atributos de nombre de usuario y contraseña de la cuenta en el elemento <processModel>
Valor predeterminado

<!-- userName="machine" password="AutoGenerate"        -->

Se convierte en

<!-- userName="machine" password="YourStrongPassword" -->

Paso

Más información

Crear en el equipo que ejecuta Microsoft SQL Server™ una cuenta de Windows que coincida con la cuenta del proceso ASP.NET utilizada para ejecutar el servicio Web (ASPNET de manera predeterminada)

El nombre de usuario y la contraseña deben coincidir con la cuenta del proceso ASP.NET.
Conceda a la cuenta los siguientes privilegios:
- Tener acceso a este equipo desde la red
- Denegar el inicio de sesión localmente
- Iniciar sesión como un trabajo por lotes

Configurar SQL Server para la autenticación de Windows

.

Crear un inicio de sesión de SQL Server para la cuenta ASPNET

Esto concede acceso al servidor SQL Server.

Crear un nuevo usuario de la base de datos y asignar el nombre de inicio de sesión al usuario de la base de datos

Esto concede acceso a la base de datos especificada.

Crear una nueva función de base de datos definida por el usuario en la base de datos y colocar el usuario de la base de datos en esa función

.

Establecer permisos de base de datos para la función de base de datos

Conceda los permisos mínimos
Consulte el capítulo 12, "Seguridad del acceso a datos".

Configurar la seguridad de las comunicaciones

Paso

Más información

Configurar el sitio Web en el servidor Web para SSL

Consulte "Cómo configurar SSL en un servidor Web" en la sección Referencia de esta guía.

Configurar IPSec entre el servidor Web y el servidor de bases de datos

Consulte "Cómo utilizar IPSec para garantizar una comunicación segura entre dos servidores" en la sección Referencia de esta guía.

Análisis

  • En el servidor Web, ASP.NET se ejecuta como una cuenta local con privilegios mínimos (la cuenta ASPNET predeterminada), por lo que se evitan posibles daños.

  • Las aplicaciones Web ASP.NET de las empresas asociadas utilizan la autenticación integrada en Windows y realizan la autorización para determinar quién puede tener acceso al servicio Web.

  • La aplicación Web ASP.NET de la empresa asociada utiliza una aplicación de Servicios Empresariales intermedia para obtener certificados de cliente y realizar llamadas al servicio Web.

  • La empresa editorial utiliza el nombre de la organización asociada (contenido en el certificado) para realizar la asignación de certificados en IIS.

  • El servicio Web utiliza la cuenta de Active Directory asignada para realizar la autorización con peticiones PrincipalPermission y comprobación de funciones de .NET.

  • La autenticación de Windows a SQL Server significa que no se almacenarán credenciales en el servidor Web y que las credenciales no se enviarán a través de la red interna al equipo con SQL Server. Si utiliza autenticación de SQL, es importante establecer la seguridad de la cadena de conexión (que contiene un nombre de usuario y una contraseña) en la aplicación y la de la transferencia a través de la red. Utilice DPAPI o una de las estrategias alternativas de almacenamiento seguro descritas en el capítulo 12, “Seguridad del acceso a datos” para almacenar cadenas de conexión y utilice IPSec para proteger la cadena de conexión (y datos de aplicación confidenciales) cuando se pasan entre el servicio Web y la base de datos.

  • Si se configura SSL entre empresas asociadas y el servicio Web, se protegerán los datos transmitidos a través de Internet.

  • Si se configura IPSec entre el servicio Web y la base de datos, se protegerán los datos intercambiados con la base de datos en la red corporativa. En algunos escenarios, en los que la empresa asociada y la editorial se comunican a través de una red privada, es posible utilizar IPSec para la autenticación de equipos además de para la seguridad de la comunicación.

Desventajas

  • El uso de una cuenta local de Windows duplicada en el servidor de bases de datos (una cuenta que coincida con la cuenta local del proceso ASP.NET para IIS) requiere mayor administración. Las contraseñas pueden actualizarse manualmente y sincronizarse periódicamente.

  • Como la seguridad basada en funciones de .NET se basa en la pertenencia a grupos de Windows, esta solución se basa en la configuración de grupos de Windows con los niveles de granularidad correctos para que correspondan a las categorías de usuarios (con los mismos privilegios de seguridad) que tendrán acceso a la aplicación. En este escenario, las cuentas de Active Directory deben pertenecer a un grupo de la empresa asociada.

Preguntas

  • La base de datos no sabe quién es el llamador original. ¿Cómo puedo crear una pista de auditoría?

Audite la actividad del usuario final (la empresa asociada) en el servicio Web.
Pase la identidad de la empresa asociada en el nivel de aplicación a la base de datos mediante parámetros de procedimiento almacenado.

Escenarios relacionados

La empresa editorial podría publicar datos no confidenciales, como copias en software de revistas, periódicos, etc. En este escenario, la editorial puede proporcionar a cada empresa asociada un nombre de usuario y una contraseña únicos para conectar con el servicio Web y recuperar datos.

En este escenario relacionado, el sitio Web de la editorial se configura para autenticar usuarios con autenticación básica. La aplicación asociada utiliza el nombre de usuario y la contraseña para establecer explícitamente las credenciales para el proxy del servicio Web

Más información

Para obtener más información sobre la configuración de servidores proxy de servicio Web, consulte el capítulo 10, " Seguridad de servicios Web".

Exponer una aplicación Web

En este escenario, la empresa editorial ofrece a las empresas asociadas acceso exclusivo a su aplicación a través de Internet y proporciona una aplicación de portal de la empresa asociada; por ejemplo, para vender servicios, mantener actualizada la información de productos de la empresa asociada y proporcionar colaboración en línea, etc. Este escenario se muestra en la ilustración 6.3.

imagen

Ilustración 6.3
Escenario de portal de empresa asociada

Características del escenario

Este escenario tiene las siguientes características:

  • La aplicación Web asociada acepta credenciales especificadas en una página de inicio de sesión de Formularios o presenta un cuadro de diálogo de inicio de sesión con autenticación básica en IIS.

  • Las credenciales se validan en un servicio Active Directory independiente en la red de perímetro de la extranet (también denominada DMZ, subred apantallada y de zona desmilitarizada). El servicio Active Directory de la extranet está en un bosque independiente que proporciona un límite de confianza independiente.

  • Se tiene acceso a la base de datos a través de una única conexión de confianza que corresponde a la identidad del proceso de aplicación Web ASP.NET

  • La autorización de la aplicación Web se basa en un objeto GenericPrincipal (creado como parte del proceso de autenticación mediante Formularios) o un objeto WindowsPrincipal (si se utiliza autenticación básica).

  • Los datos recuperados de la aplicación Web son confidenciales, por lo que se debe establecer la seguridad para su transferencia (internamente en la empresa editorial y externamente mientras se transmiten por Internet).

Establecer la seguridad del escenario

Como los datos intercambiados entre las dos empresas a través de Internet son confidenciales, se debe utilizar SSL para establecer la seguridad de los mismos durante la transferencia.

Se utiliza un servidor de seguridad que sólo permite conexiones de entrada desde la dirección IP de las empresas asociadas de la extranet para evitar que otros usuarios de Internet no autorizados abran conexiones de red con el servidor Web.

Tabla 6.2: Medidas de seguridad

Categoría

Detalles

Autenticación

  • La aplicación Web autentica a los usuarios de empresas asociadas mediante autenticación básica o mediante Formularios con el servicio Active Directory de la extranet. Se utiliza autenticación de Windows en la base de datos. Para conectar se utiliza la identidad del proceso de aplicación Web ASP.NET. La base de datos confía en la aplicación Web.

Autorización

  • La aplicación Web utiliza la autorización basada en funciones de .NET para comprobar que el usuario autenticado (representado por un objeto GenericPrincipal o un objeto WindowsPrincipal, para autenticación por formularios o autenticación básica respectivamente) son miembros de un grupo de empresas asociadas.

Comunicación segura

  • La aplicación Web utiliza la autorización basada en funciones de .NET para comprobar que el usuario autenticado (representado por un objeto GenericPrincipal o un objeto WindowsPrincipal, para autenticación por formularios o autenticación básica respectivamente) son miembros de un grupo de empresas asociadas.

El resultado

La ilustración 6.4 muestra la configuración de seguridad recomendada para este escenario.

imagen

Ilustración 6.4
La configuración de seguridad recomendada para el escenario de portal de empresa asociada

Configurar el servidor Web de la extranet

Configurar IIS

Paso

Más información

Para utilizar autenticación mediante Formularios, habilite el acceso anónimo para el directorio raíz virtual de la aplicación Web
- o bien -
Para utilizar autenticación básica, deshabilite el acceso anónimo y seleccione autenticación básica

.

Configurar Active Directory (Extranet)

Paso

Más información

[Text]

[Text]

[Text]

[Text]

Configurar Active Directory (Extranet)

Paso

Más información

[Text]

[Text]

[Text]

[Text]

Configurar Active Directory (Extranet)

Paso

Más información

Configurar cuentas de Active Directory para representar a usuarios de la empresa asociada

Se utiliza un servicio Active Directory de extranet independiente. Se encuentra en su propio bosque y es completamente independiente del servicio Active Directory corporativo.

Configurar ASP.NET

Paso

Más información

Configurar la aplicación Web ASP.NET para utilizar autenticación de Windows (para autenticación básica de IIS)
- o bien -
Configurar ASP.NET para utilizar autenticación mediante Formularios

Edite el archivo Web.config en el directorio raíz virtual del servicio Web

Establezca el elemento <authentication> en:

<authentication mode="Windows" />

- o bien -

<authentication mode="Forms" />

Restablecer la contraseña de la cuenta ASPNET (que se utiliza para ejecutar ASP.NET) a una contraseña segura conocida

Esto le permite crear una cuenta local duplicada (con el mismo nombre de usuario y la misma contraseña) en el servidor de bases de datos. Esto es necesario para habilitar la cuenta ASPNET a fin de responder a desafíos de autenticación de la red enviados por el servidor de la base de datos, cuando se conecta mediante autenticación de Windows.
Una alternativa es utilizar una cuenta de dominio con privilegios mínimos (si se permite la autenticación de Windows a través del servidor de seguridad).
Para obtener más información, consulte "Identidad del proceso de ASP.NET" en el capítulo 8, "Seguridad de ASP.NET".
Edite el archivo Machine.config, que se encuentra en %windir%\Microsoft.NET\Framework\v1.0.3705\CONFIG
Establezca los atributos de nombre de usuario y contraseña de la cuenta en el elemento <processModel>
Valor predeterminado

<!-- userName="machine" password="AutoGenerate" 
        -->

Se convierte en

<!-- userName="machine"
        password="YourStrongPassword" -->

Configurar SQL Server

Paso

Más información

Crear en el equipo con SQL Server una cuenta de Windows que coincida con la cuenta de proceso ASP.NET que se utiliza para ejecutar el servicio Web (ASPNET de manera predeterminada)

El nombre de usuario y la contraseña deben coincidir con la cuenta del proceso ASP.NET.
Conceda a la cuenta los siguientes privilegios:
- Tener acceso a este equipo desde la red
- Denegar el inicio de sesión localmente
- Iniciar sesión como un trabajo por lotes

Configurar SQL Server para la autenticación de Windows

.

Crear un inicio de sesión de SQL Server para la cuenta ASPNET

Esto concede acceso al servidor SQL Server.

Crear un nuevo usuario de la base de datos y asignar el nombre de inicio de sesión al usuario de la base de datos

Esto concede acceso a la base de datos especificada.

Crear una nueva función de base de datos definida por el usuario en la base de datos y colocar el usuario de la base de datos en esa función

.

Establecer permisos de base de datos para la función de base de datos

Conceda los permisos mínimosConsulte el capítulo 12, "Seguridad del acceso a datos".

Configurar la seguridad de las comunicaciones

Paso

Más información

Configurar el sitio Web en el servidor Web para SSL

Consulte "Cómo configurar SSL en un servidor Web" en la sección Referencia de esta guía.

Configurar IPSec entre el servidor Web y el servidor de bases de datos

Consulte "Cómo utilizar IPSec para garantizar una comunicación segura entre dos servidores" en la sección Referencia de esta guía.

Análisis

  • En el servidor Web, ASP.NET se ejecuta como una cuenta local con privilegios mínimos (la cuenta ASPNET predeterminada), por lo que se evitan posibles daños.

  • Se utiliza SSL entre el explorador y la aplicación Web para proteger las credenciales de autenticación mediante Formularios o autenticación básica (en ambos casos se pasan como texto sin formato, aunque la autenticación básica utiliza codificación Base64). SSL también protege los datos específicos de la aplicación devueltos desde la aplicación Web.

  • Para la autenticación mediante Formularios se utiliza SSL en todas las páginas (no sólo en la página de inicio de sesión) para proteger la cookie de autenticación pasada en todas las solicitudes Web posteriores a la autenticación inicial.

  • Si SSL sólo se utiliza en la página inicial de inicio de sesión para cifrar las credenciales pasadas para la autenticación, debe asegurarse de que el vale de autenticación mediante Formularios (contenido en una cookie) está protegido, ya que se pasa entre el cliente y el servidor en cada solicitud Web sucesiva. Para cifrar el vale de autenticación mediante Formularios, configure el atributo protection del elemento como se indica a continuación y utilice el método Encrypt de la clase FormsAuthentication para cifrar el vale.

El atributo protection="All" especifica que cuando la aplicación llama a FormsAuthentication.Encrypt, el vale debe validarse (debe comprobarse la integridad) y cifrarse. Debe llamar a este método cuando cree el vale de autenticación (normalmente, en el controlador de eventos del botón Inicio de sesión de la aplicación).

string encryptedTicket = FormsAuthentication.Encrypt(authTicket);

Para obtener más información sobre la autenticación mediante Formularios y el cifrado del vale, consulte el capítulo 8, " Seguridad de ASP.NET".

  • De forma similar, se utiliza SSL en todas las páginas para autenticación básica, ya que las credenciales de la autenticación básica se pasan en todas las solicitudes de página Web, no sólo en la inicial, en la que el usuario suministra las credenciales para autenticación básica.

  • Para la autenticación básica, ASP.NET crea automáticamente un objeto WindowsPrincipal para representar al llamador autenticado y lo asocia a la solicitud Web actual (HttpContext.User), en la que lo utiliza la autorización de .NET que incluye peticiones PrincipalPermission y funciones de .NET.

  • Para la autenticación mediante Formularios, debe desarrollar código para validar las credenciales suministradas en Active Directory y construir un objeto GenericPrincipal para representar al usuario autenticado.

  • La autenticación de Windows a SQL Server significa que no se almacenarán credenciales en el servidor Web y que las credenciales no se enviarán a través de la red interna al equipo con SQL Server.

  • Si se configura IPSec entre el servicio Web y la base de datos, se protegerán los datos intercambiados con la base de datos en la red corporativa.

Desventajas

  • El uso de una cuenta local de Windows duplicada en el servidor de bases de datos (una cuenta que coincida con la cuenta local del proceso ASP.NET para IIS) requiere mayor administración. Las contraseñas pueden actualizarse manualmente y sincronizarse periódicamente.

  • La autenticación básica muestra un cuadro de diálogo emergente en el explorador. Si desea proporcionar una experiencia de inicio de sesión más uniforme, utilice autenticación mediante Formularios.

Escenarios relacionados

Sin conectividad de la extranet a la red corporativa

Para mayor seguridad, la aplicación para extranet puede generarse de forma que no requiera conectividad en la red corporativa. En este escenario:

  • En la extranet hay una base de datos SQL Server independiente y se produce la replicación de datos de la base de datos interna en la base de datos de la extranet.

  • Se utilizan enrutadores para rechazar conexiones de la extranet a la red corporativa. Las conexiones pueden establecerse de la otra manera mediante puertos con numeración alta específicos.

  • Las conexiones de la red corporativa a la extranet siempre deben realizarse a través de un servidor dedicado con auditoría e inicio de sesión seguros, que los usuarios deben autenticar antes de tener acceso a la extranet.

Más información

Resumen

En este capítulo se ha descrito la forma de establecer la seguridad de dos escenarios comunes de aplicación para extranet.

Para ver una descripción de los escenarios de aplicaciones para intranet e Internet, consulte el capítulo 5, "Seguridad de intranet" y el capítulo 7, "Seguridad de Internet".

Mostrar:
© 2015 Microsoft