Seguridad en los servidores

Seguridad en los servidores Concepto: Es la protección de la infraestructura computacional y todo lo relacionado con esta incluyendo la información que esta contenga.

Seguridad en los servidores. Es la protección de la infraestructura computacional y todo lo relacionado con esta incluyendo la información que esta contenga. Existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas, para minimizar los posibles riesgos a la medios o la información.

Servidores

Un servidor es una computadora que, formando parte de una red, provee servicios a otras computadoras denominadas clientes. Existe una gran variedad de servidores que desarrollan variadas funciones.

Tipos de servidores

• Servidor de archivo: centra su función al almacenamiento de varios tipos de archivos y los distribuye a otros clientes en la red.
• Servidor de impresiones: controla una o más impresoras y acepta trabajos de impresión de otros clientes de la red, poniendo en cola los trabajos de impresión (aunque también puede cambiar la prioridad de las diferentes impresiones); y realizando la mayoría o todas las otras funciones que en un sitio de trabajo se realizaría para lograr una tarea de impresión, si la impresora fuera conectada directamente con el puerto de impresora del sitio de trabajo.
• Servidor de correo: almacena, envía, recibe, enruta y realiza otras operaciones relacionadas con la mensajería electrónica para los clientes de la red.
• Servidor de fax: almacena, envía, recibe, enruta y realiza otras funciones necesarias para la transmisión, la recepción y la distribución apropiadas de los fax.
• Servidor de la telefonía: desarrolla trabajos relacionadas con la telefonía, la de contestador automático, realizando las funciones de un sistema interactivo para la respuesta de la voz, almacenando los mensajes de voz, encaminando las llamadas y controlando también la red o el Internet.
• Servidor proxy: realiza un cierto tipo de funciones a nombre de otros clientes en la red para aumentar el funcionamiento de ciertas operaciones. También proporciona servicios de seguridad, incluye un cortafuegos. Permite administrar el acceso a internet en una red de computadoras, permitiendo o negando el acceso a diferentes sitios web.
• Servidor del acceso remoto (RAS): controla las líneas de módem de los monitores u otros canales de comunicación de la red, para que las peticiones conecten con la red de una posición remota. Responde llamadas telefónicas entrantes o reconoce la petición de la red, y realiza la autentificación necesaria y otros procedimientos necesarios para registrar a un usuario en la red.
• Servidor de uso: realiza la parte lógica de la informática o del negocio de un uso del cliente, aceptando las instrucciones para que se realicen las operaciones de un sitio de trabajo y sirviendo los resultados a su vez al sitio de trabajo; mientras que el sitio de trabajo realiza la interfaz operadora o la porción del GUI del proceso, es decir, la lógica de la presentación que se requiere para trabajar correctamente.
• Servidor web: almacena documentos HTML, imágenes, archivos de texto, escrituras, y demás material web compuesto por datos y distribuye este contenido a clientes que la piden en la red.
• Servidor de Base de Datos (database server): provee servicios de base de datos a otros programas u otras computadoras, como es definido por el modelo cliente-servidor. También puede hacer referencia a aquellas computadoras (servidores) dedicadas a ejecutar esos programas, prestando el servicio.
• Servidor de reserva: tiene el software de reserva de la red instalado y tiene cantidades grandes de almacenamiento de la red en discos duros u otras formas del almacenamiento (cinta, etc.), disponibles para que se utilice con el fin de asegurarse de que la pérdida de un servidor principal no afecte a la red. Esta técnica también es denominada clustering.
• Servidor de impresión: muchas impresoras son capaces de actuar como parte de una red de ordenadores sin ningún otro dispositivo, tal como un "print server" (servidor de impresión), a actuar como intermediario entre la impresora y el dispositivo que está solicitando que se termine un trabajo de impresión.

Sin embargo, de acuerdo al rol que asumen dentro de una red se dividen en:

• Servidor dedicado: son aquellos que le dedican toda su potencia a administrar los recursos de la red, es decir, a atender las solicitudes de procesamiento de los clientes.
• Servidor no dedicado: son aquellos que no dedican toda su potencia a los clientes, sino también pueden jugar el rol de estaciones de trabajo, al procesar solicitudes de un usuario local.

Para los que desarrollan aplicaciones web de una Intranet, es de gran utilidad conocer los mecanismos de seguridad utilizados en cada uno de los productos, y cómo trabajan éstos. Así como aquellos problemas relacionados con la seguridad de Windows NT, IIS y Microsoft SQL Server y cómo integrarlos adecuadamente

Seguridad en Windows NT

Windows es un sistema operativo donde ejecutarán IIS y Microsoft SQL Server, por lo que es necesario entender cómo protege los recursos NT. Cualquier acción requiere de un comprobación de seguridad, para saber quién desea acceder a los recursos y cuáles derechos tiene sobre éstos.

El usuario debe iniciar una sesión e introducir nombre de usuario y contraseña, para identificarse ante el sistema; el cual usa esa credencial para determinar, al buscar en la base de datos de usuarios del dominio, si la persona que inició la sesión es válida y entonces se le creará un token o llave de acceso, la que es encriptada, al usar un valor aleatorio creado a estos fines. Dicha llave contiene un identificador y los privilegios codificados de éste. En la base de datos de usuarios no se almacena la contraseña en sí, sino que a partir de ella se genera un hash de 128 bits, usando el algoritmo MD4, estándar de Internet.

Tener esta llave no significa que el usuario pueda abrir cualquier cerradura que se encuentre en el sistema, sino sólo aquellas a las que tenga autorización. Para que pueda tener acción sobre los recursos pedidos, el sistema necesitará chequear los derechos de acceso (lectura, escritura, etc), que él tiene sobre los mismos.

Una vez que el usuario ha sido identificado, el sistema necesita determinar los privilegios otorgados al mismo y los que puede ejercer sobre los recursos. El sistema de archivos de nueva tecnología por sus siglas en inglés NTFS, le proporciona a los ficheros y directorios una lista de control de acceso, que no es más que una relación que se utiliza para mantener los derechos que sobre el recurso tienen los usuarios; así cuando se intenta acceder a un fichero, el subsistema de seguridad de Windows NT chequea el control de acceso para determinar si el usuario se halla en él.

Seguridad en IIS

IIS posee sus propios mecanismos de seguridad para la autentificación del usuario que solicita las páginas web. El control de privilegios y derechos sobre los ficheros pedidos es realizado por NTFS.

En la instalación de IIS se crea un usuario para el acceso anónimo, llamado IUSR_MACHINENAME, donde MACHINENAME es el nombre de la máquina donde reside IIS. IUSR se creó como miembro del grupo Guest (tiene acceso limitado a los recursos), con el privilegio de poder iniciar una sesión en la máquina y se le asigna una contraseña generada aleatoriamente. Si se desea cambiar el nombre o contraseña, las modificaciones deben efectuarse usando los utilitarios administrador de servicios de Internet y el administrador de usuarios de dominio. Si la máquina donde reside IIS es el controlador de dominio primario, IUSR será una cuenta de dominio y visible en todas las máquinas del dominio. Si reside en un servidor miembro del dominio, la cuenta será local y visible sólo en esa máquina.

Seguridad en Microsoft SQL Server

Microsoft SQL Server es un gestor de base de datos que tiene su propia seguridad, la cual es independiente o no de Windows NT, según el método que utilice. Los métodos que este servidor brinda son seguridad estándar, integrada y mixta.

Estándar

Existe totalmente independiente de la seguridad de Windows NT, es decir, Microsoft SQL Server tiene su propia base de datos de usuarios y chequeará si alguno que desea conectarse, tiene asignado un ID (identificación) válido. Con este método, el usuario tiene un ID diferente al de Windows NT. Este método es el predeterminado de Microsoft SQL Server.

Integrada

Depende de la seguridad de Windows NT. La conexión de Microsoft SQL Server se realiza de igual forma a la sesión iniciada por el usuario en el dominio NT, por lo que poseen un ID única. La ID del usuario de Windows NT debe ser registrada en Microsoft SQL Server. Este método necesita utilizar protocolos que permitan conexiones confiables.

Mixta

Es una combinación de los métodos de seguridad estándar e integrada.

Integración de IIS y Microsoft SQL Server

Integrar IIS y Microsoft SQL Server a veces resulta necesario integrarlos para la publicación de información contenida en bases de datos. Es indispensable tener en cuenta la distribución física de ambos productos, para seleccionar adecuadamente los métodos de seguridad de cada uno de ellos.

Cuando un usuario pide una página web que accede a una base de datos que reside en Microsoft SQL Server, tendrá lugar un doble proceso de autentificación: el que realiza IIS para servir la página (cliente/IIS/PDC) y el de Microsoft SQL Server para establecer la conexión (IIS/SQL).

Los que van a desarrollar las aplicaciones web para Intranet o Internet, es importante que conozcan cuáles son los mecanismos de seguridad que están seleccionados en cada uno de los servidores (Web y de datos), así como fijarse como trabajan éstos y saber qué información necesitan para la autentificación.

Véase también

• Seguridad Informática

Fuentes

• Masadelante.com
• Internet Developers Scott Stabbert. (1998). Authentication and Security. MSND Library April.
• Enfield, Paul. (1997). Implementing a secure site with ASP.
• Domínguez Ariosa, Aniuska I. (1999). “Seguridad en los servidores”. Revista GIGA, (3).