Estás en Criptonomicón > Consejos prácticos > Consejos para administradores > Control de acceso por IP y algo más
|
Control de acceso por IP y algo más |
Se puede configurar el servidor de manera que ciertos recursos (directorios, programas o archivos individuales) sean accesibles exclusivamente por ordenadores que posean determinada dirección IP. A menudo, se encuentra esta forma de autenticación para permitir la entrada a un servidor, argumentando que se trata de la dirección del ordenador de casa del administrador, que se conecta los fines de semana para tareas de mantenimiento. Aunque, aparentemente, nadie más tendrá asignada esa dirección IP, existen razones por las que nunca debería usarse este método de autenticación en solitario, especialmente en el acceso a servidores críticos.
En primer lugar, este método no comprueba la identidad de un individuo, sino de una máquina, asumiendo que un solo usuario se conecta siempre desde la misma máquina. Por lo tanto, si varios individuos tienen acceso a esa máquina (la mujer del administrador, sus niños, la empleada del hogar, etc.) podrían, de rebote, tener acceso al ordenador objetivo. ¿Quién asegura que nadie se colará en la casa y accederá desde ella al servidor?
En segundo lugar, si un atacante gana acceso lógico a una máquina autorizada, podría acceder desde ella a los recursos protegidos por el servidor sin necesidad de pasar por ulteriores controles de identidad. Si el ordenador está siempre conectado (de otra forma difícilmente tendría asignada una IP fija) podría sucumbir víctima de un atacante, que lo utilizaría como puente para llegar al sistema final.
Por último, este método resulta susceptible a otro tipo de ataque conocido como IP spoofing, consistente en falsificar la dirección IP de una máquina, haciéndola parecer como procedente de la intranet del host. Este ataque es técnicamente muy difícil de realizar, por lo que suele considerarse imposible en la práctica, pero existe la remota posibilidad de que un hacker lo ejecute con éxito. Esta sombra de duda es razón más que suficiente para justificar la desconfianza de este método de autenticación.
En resumen, la autenticación por IP debería utilizarse solamente como medida adicional de seguridad, nunca en exclusiva, combinándolo siempre con alguno de los otros métodos que existen, como contraseñas, certificados, etc.
|
Participa con tus consejos y trucos |
¿Tienes algún consejo o truco que te gustaría compartir con otros usuarios? Envíamelo y aparecerá publicado con tu nombre.
Copyright © 1997-2000 Gonzalo Álvarez Marañón, CSIC. Todos los derechos reservados.
Criptonomicón es un servicio ofrecido libremente desde el Instituto de Física Aplicada del CSIC. Para información sobre privacidad, por favor consulte la declaración de política sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de visitas. Para contribuir al Criptonomicón, lea la página de contribuciones.