Control de acceso

Dirección IP, host o dominio

Nombre y contraseña

Certificados

Autenticación y autorización de usuarios en Internet

Estás en Criptonomicón > Autenticación > Dirección IP, host o dominio > Ventajas e inconvenientes

Ventajas e inconvenientes del control de acceso por dirección IP, nombre de host o dominio

Ventajas

Windows 2000

Linux

Ventajas e inconvenientes

  • Resulta muy fácil de configurar y de mantener.
  • No necesita participación de los usuarios.

Inconvenientes

  • Resulta poco flexible, ya que no permite dotar de acceso a usuarios de gran movilidad que se conectan desde distintas máquinas con direcciones IP completamente distintas. Tampoco funciona para usuarios que acceden con direcciones IP flotantes, como los que acceden a través de un proveedor de servicios que asigna direcciones IP dinámicas a sus clientes. Aunque todas suelen tener una parte común, si se quiere autenticar a usuarios individuales no es posible especificar subredes en las directivas de control de acceso.
  • Este método no comprueba la identidad de un individuo, sino de una máquina, asumiendo que un solo usuario se conecta siempre desde la misma máquina. Por lo tanto, si varios individuos tienen acceso a esa máquina, como es típico en sistemas multiusuario tipo UNIX o con usuarios que utilizan un mismo proxy, cualquiera de ellos podría acceder al recurso protegido con este método.
  • Es susceptible a dos tipos de ataque: DNS spoofing, en el que se consigue asumir el control del sistema DNS de traducción de nombres de máquina a direcciones IP y viceversa, falsificando el nombre de host con el que accede por otro que sí esté autorizado. La posibilidad de este tipo de ataque se puede reducir utilizando un cortafuegos en el que se confíe para las conversiones de direcciones, o bien utilizando la técnica de comprobación paranoica de nombres, consistente en pedir al servidor DNS que primero devuelva el nombre asociado con una dirección IP recibida, para a continuación convertir la dirección IP del nombre que acaba de devolver, concediendo el acceso si ambas coinciden. El segundo tipo de ataque se conoce como IP spoofing y consiste en falsificar la dirección IP de una máquina, haciéndola parecer como procedente de la intranet del host. Dado que este ataque es mucho más difícil de realizar que el primero, siempre se recomienda utilizar restricciones por dirección IP en vez de por nombre de host.
  • Si un atacante gana acceso a una máquina autorizada, podría acceder desde ella a los recursos protegidos por el servidor sin necesidad de pasar por ulteriores controles de identidad.

Información adicional

 

Copyright © 1997-2001 Gonzalo Álvarez Marañón, CSIC. Todos los derechos reservados.

Criptonomicón es un servicio ofrecido libremente desde el Instituto de Física Aplicada del CSIC. Para información sobre privacidad, por favor consulte la declaración de política sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de visitas. Para contribuir al Criptonomicón, lea la página de contribuciones.