Autentificación Basada en Red

El NIS y el NIS+ (antiguamente conocido como "páginas amarillas") significa Servicio

de Información de Red. En resumen, el NIS y el NIS+ proporcionan una forma de distribuir ficheros de contraseñas, ficheros de grupos y otros ficheros de configuración a lo largo de muchas máquinas, proporcionando sincronización de cuentas y contraseñas (entre otros servicios). El NIS+ es en esencia el NIS con algunas mejoras (la mayoría relativas a seguridad), por lo demás son bastante parecidos.

Para utilizar el NIS se configura un servidor NIS maestro, que contendrá los registros y se le permitirá cambiarlos (añadir usuarios, etc), este servidor puede distribuir los registros a máquinas NIS esclavas que contienen copias de sólo lectura de los registros (pero pueden promocionar a maestro y configurarse de lectura/escritura, si ocurre algo malo). Los clientes de la red NIS solicitan porciones de la información y la copian directamente a sus ficheros de configuración (como /etc/passwd), de modo que puedan estar accesibles localmente. Utilizando NIS se les proporciona a varios miles de estaciones de trabajo y servidores del mismo conjunto de nombres de usuario, información de usuario, contraseñas y similar, reduciendo significativamente las pesadillas de administración.

Sin embargo, esto es parte del problema: al compartir estar información, se hace accesible a atacantes. El NIS+ intenta resolver esta circunstancia, pero es una auténtica pesadilla de configurar.

Una estrategia alternativa sería utilizar algún tipo de VPN (como FreeS/WAN, ¿a que parece que resuelve casi cualquier problema?) y cifrar los datos antes de que lleguen a la red. Existe un howto de NIS / NIS+ en: http://metalab.unc.edu/LDP/HOWTO/NIS-HOWTO.html, y O’Reilly tiene un libro excelente al respecto. El NIS / NIS+ se ejecuta sobre RPC, el cual utiliza el puerto 111, ambos tcp y udp. Definitivamente, esto tendría que bloquearse en el perímetro de la red, pero no protegerá totalmente al NIS / NIS+. Puesto que NIS y NIS+ son servicios basados en RPC, tienden a utilizar los puertos más altos (p. ej., los superiores al 1024) de forma bastante aleatoria, haciendo bastante difícil el filtrado mediante el cortafuegos. La mejor solución es situar el/los servidores NIS en una red interna que esté completamente bloqueada a Internet, hacia dentro y hacia fuera. Hay un excelente documento sobre la forma de asegurar NIS disponible en: http://www.eng.auburn.edu/users/doug/nis.html

El SRP es un recién llegado, relativamente, sin embargo tiene algunas ventajas sobre los programas antiguos. El SRP es gratuito para uso no comercial, y no utiliza cifrado por sí mismo para asegurar los datos, de modo que la exportación fuera de EE.UU. no es un problema. El SRP utiliza hash de un sólo sentido y proporciona autentificación a ambas partes. La desventaja es que el SRP sólo cifra el login (nombre de usuario y contraseña) de modo que cualquier dato transferido (como la sesión telnet o los sitios ftp) son vulnerables. SRP se puede conseguir en: http://srp.stanford.edu/srp/. En la actualidad, el SRP tiene soporte para Telnet y FTP (también para windows) aunque habilitar SRP para otros protocolos es relativamente sencillo.

Kerberos es un moderno sistema de autentificación de red basado en la idea de expedir un ticket a un usuario una vez que se ha autentificado en el servidor Kerberos (similar al uso de testigos en NT). Kerberos se encuentra disponible en: http://web.mit.edu/kerberos/www/. El FAQ de Kerberos está en: http://www.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html. Kerberos es adecuado para instalaciones grandes, pues escala mejor y es más seguro que NIS / NIS+. "Kerberizar" programas como telnet, imap y pop es posible, con algo de esfuerzo, sin embargo es más difícil encontrar clientes Windows con soporte para Kerberos.

Volver