Comparación de técnicas de seguridad para servicios web seguros


Comparación

Tabla A - Resumen de fortalezas y debilidades de cada técnica de seguridad con respecto a varios objetivos de desarrollo. (Los números más bajos son mejores).

Tabla A

IP blocking Autenticación de usuario Certificados digitales
Facilidad de implementación 1 - Más fácil 3 - Se requiere código en cada método, almacenamiento de datos requerido 2 - Se requiere código en cada método
Autorización flexible 3 - Autenticación "todo o nada" 1 - Autenticación/autorización a nivel de método 1 - Autenticación/autorización a nivel de método
Uso flexible de la ubicación 2 - Promedio 1 - Muy flexible 3 - Limitado a una ubicación por certificado
Esfuerzo requerido por el usuario final para implementar 1 - Ningún esfuerzo 2 - Ningún esfuerzo a difícil, según el escenario 3 - Difícil de instalar
Efecto en el resto del sitio 3 - Bloquea todo el sitio 1 - Sin efecto 1 - Sin efecto
Seguimiento de auditoría 3 - Muy limitado 1 - Flexible, a nivel de método 1 - Flexible, a nivel de método
Seguridad 2 - Relativamente fácil de falsificar una dirección IP 3 - Fácil de adivinar nombre de usuario y contraseña 1 - Difícil de duplicar/falsificar un certificado

Fortalezas y debilidades de las técnicas de seguridad XML

Como se puede ver, cada una de las tres técnicas de seguridad tiene sus propias fortalezas y debilidades. Como suele ser el caso, la facilidad de desarrollo del bloqueo IP viene a expensas de la flexibilidad. El bloqueo IP es simple y rápido de implementar y no requiere esfuerzo por parte del usuario final. El costo de esta simplicidad es que el bloqueo IP permite solo autorización a nivel del sitio web y bloquea a los usuarios de acceder a otras partes del sitio web. Otro precio exacto por la facilidad de desarrollo de los escenarios de bloqueo de IP son los mensajes de error poco amigables para el usuario. Debido a que la autenticación/autorización ocurre a nivel del servidor, los usuarios bloqueados de acceder a un servicio web verán un mensaje de error del servidor web (HTTP 403.6) en lugar de un mensaje personalizado y amigable para el usuario. Esto puede ser frustrante para los usuarios y perjudicial para los negocios repetidos.

La autenticación de usuario, por otro lado, es mucho más flexible, lo que le permite crear autorización a nivel de método. Esta técnica también permite a los usuarios acceder al servicio web desde cualquier ubicación y no bloquea a los usuarios no autorizados de otros recursos en el sitio web. Además, los usuarios bloqueados pueden recibir mensajes de error personalizados que indican la razón por la que se les bloquea el acceso, como "nombre de usuario inválido". Debido a que la autenticación/autorización ocurre a nivel de método, esta técnica también permite un seguimiento detallado de la auditoría. Cada método web puede almacenar información sobre cuándo y cómo se accede a él. Sin embargo, esta flexibilidad tiene un alto costo de desarrollo y potencialmente un alto costo para el usuario final. El desarrollador debe diseñar e implementar una solución para almacenar nombres de usuario y contraseñas confidenciales y mitigar los riesgos de seguridad asociados con el almacenamiento de esta información. Al mismo tiempo, la autenticación de usuario representa una carga adicional para el usuario final, obligando a los desarrolladores a ingresar parámetros adicionales en su código y potencialmente obligando a un consumidor que accede directamente al servicio web a ingresar su nombre de usuario y contraseña muchas veces.

Los certificados digitales se encuentran en algún punto intermedio entre el bloqueo de IP y la autenticación de usuario en términos de facilidad de desarrollo y flexibilidad. Debido a que se requiere código para verificar el certificado digital a nivel de método, esta técnica proporciona la misma flexibilidad que la autenticación de usuario, lo que permite a los desarrolladores crear esquemas de autorización complejos y mensajes de error amigables para los usuarios. Al igual que la autenticación de usuario, esta técnica también permite un nivel alto de detalle en el seguimiento de auditoría. Los certificados pueden contener información sobre el usuario, por lo que pueden ser más amigables para el usuario al eliminar la necesidad de que el usuario final ingrese su nombre de usuario o contraseña para cada método. Atractivos como son estos beneficios, tienen un costo muy alto: una instalación difícil para el usuario. Se debe instalar un certificado digital en cada máquina cliente y el proceso de instalación puede ser complicado. Este costo sería demasiado alto para situaciones en las que se debe permitir que el público en general consuma un servicio web.

Los diferentes tipos de firewalls y cómo evolucionaron para proteger las redes corporativas

Nivel de seguridad
Obviamente, una preocupación final que se debe considerar para cada una de estas técnicas es el nivel de seguridad que proporciona. Aunque el bloqueo de IP puede, a primera vista, parecer el más seguro porque bloquea el acceso a todo el sitio, probablemente es el más fácil de evitar intencionalmente. Uno de los primeros trucos que aprenden los hackers es cómo imitar o spoofear una dirección IP especificada. Por ejemplo, sería trivial para un hacker determinar la dirección IP de RegalResearch.com y luego spoofear esa dirección IP para obtener acceso al servicio web de The Internet Dictionary Company (TIDC). Esta preocupación se complica por el hecho de que el bloqueo de IP no ofrece un seguimiento de auditoría detallado; sería difícil determinar cuándo y cómo un hacker estaba accediendo ilegalmente al servicio de TIDC.

La autenticación de usuario califica un poco mejor que el bloqueo de IP en el medidor de seguridad, principalmente debido a la renuencia de los usuarios a utilizar contraseñas difíciles de adivinar. Los consumidores típicos utilizarán la misma combinación de nombre de usuario y contraseña en muchos sistemas diferentes; si uno se ve comprometido, todos se ven comprometidos. Los usuarios típicos también prefieren contraseñas fáciles de recordar, como su fecha de nacimiento o el nombre de su cónyuge. Estas contraseñas suelen ser fáciles de adivinar para los hackers. Además, debido a que la mayoría de las contraseñas son valores de cadena corta, es relativamente fácil para un hacker determinado probar todas las posibles combinaciones de contraseñas si conoce los parámetros generales de la contraseña.

Los certificados digitales son la opción más segura debido al hecho de que son únicos por usuario, se cifran con técnicas estándar de la industria y son difíciles de duplicar. Los certificados digitales son una excelente opción para situaciones donde se necesita la máxima seguridad, como intranets seguras.

Conclusión
Ahora que hemos examinado tres técnicas para asegurar nuestro servicio web contra usuarios no autorizados, veamos qué elegiría nuestra empresa ficticia. Primero, TIDC quiere asegurar el nivel más alto de seguridad contra el uso no autorizado y un seguimiento detallado del uso. A los clientes se les cobra por el uso del método, por lo que es muy importante asegurarse de que cada llamada se registre y se cobre correctamente. La necesidad de seguridad favorece a los certificados digitales o al bloqueo de IP, pero la necesidad de seguimiento de auditoría favorece a la autenticación de usuario o a los certificados digitales.

Eso es dos votos para los certificados digitales, por lo que TIDC considera ahora dos problemas potenciales con el uso de esta técnica:

  • Los certificados digitales son difíciles de instalar. Sin embargo, esto no es un problema para TIDC. TIDC planea tener solo un cliente inicialmente (Regal Research) y no tiene planes realistas de agregar más de un par de nuevos clientes cada mes. Por lo tanto, TIDC puede asignar el personal necesario para ayudar a los nuevos clientes a configurar un certificado digital.
  • Los certificados digitales deben instalarse en cada máquina que accederá al servicio web. Como Regal Research se ejecuta desde un solo servidor web, solo deberá instalar un único certificado. Solo se deberán instalar nuevos certificados si Regal Research se traslada a una configuración de granja web. Los usuarios finales de RegalResearch.com no tendrán que instalar un certificado.

Al considerar todas las opciones y sopesar ventajas y desventajas, TIDC ha determinado que los certificados digitales son la mejor solución para asegurar el servicio web de la empresa.

Cómo solucionar problemas de políticas de grupo con RSoP

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Comparación de técnicas de seguridad para servicios web seguros , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.