Nota
L'accés a aquesta pàgina requereix autorització. Pots provar d'iniciar sessió o canviar de directori.
L'accés a aquesta pàgina requereix autorització. Pots provar de canviar directoris.
En este artículo se describe el ejemplo ExtendedProtection.
La protección ampliada es una iniciativa de seguridad para proteger contra ataques de tipo "man in the middle" (MITM). Un ataque MITM es una amenaza de seguridad en la que un MITM toma las credenciales de un cliente y lo reenvía a un servidor.
Discusión
Cuando las aplicaciones se autentican mediante Kerberos, Digest o NTLM mediante HTTPS, primero se establece un canal de seguridad de nivel de transporte (TLS) y, a continuación, se realiza la autenticación mediante el canal seguro. Sin embargo, no hay ningún enlace entre la clave de sesión generada por SSL y la clave de sesión generada durante la autenticación. Cualquier atacante MITM puede interponerse entre el cliente y el servidor e iniciar el reenvío de solicitudes desde el cliente, incluso si el canal de transporte es seguro, ya que el servidor no tiene forma de saber si el canal seguro ha sido establecido por el cliente o por un MITM. La solución de este escenario consiste en enlazar el canal TLS externo con el canal de autenticación interno para que el servidor pueda detectar si hay un MITM.
Nota:
Este ejemplo solo funciona cuando se hospeda en IIS.
Nota:
Los pasos siguientes son específicos de Windows 7.
Para configurar, compilar y ejecutar el ejemplo
Instale Internet Information Services desde el Panel de control, agregar o quitar programas, características de Windows.
Instale la autenticación de Windows en características de Windows, Internet Information Services, World Wide Web Services, seguridad y autenticación de Windows.
Instale la activación HTTP de Windows Communication Foundation en características de Windows, Microsoft .NET Framework 3.5.1 y activación HTTP de Windows Communication Foundation.
Este ejemplo requiere que el cliente establezca un canal seguro con el servidor, por lo que requiere la presencia de un certificado de servidor que se puede instalar desde el Administrador de Internet Information Services (IIS).
Abre el Administrador de IIS. Abra Certificados de servidor, que aparece en la pestaña Vista de características cuando se selecciona el nodo raíz (nombre del equipo).
Para probar este ejemplo, cree un certificado autofirmado. Si no desea que el explorador le indique que el certificado no es seguro, instálelo en el almacén Entidades emisoras de certificados raíz de confianza.
Abra el panel Acciones del sitio web predeterminado. Haga clic en Editar sitio, Enlaces. Agregue HTTPS como tipo si aún no está presente, con el número de puerto 443. Asigne el certificado SSL creado en el paso anterior.
Compile el servicio. Esto crea un directorio virtual en IIS y copia los archivos .dll, .svc y .config según sea necesario para que el servicio se hospede web.
Abre el Administrador de IIS. Haga clic con el botón derecho en el directorio virtual (ExtendedProtection), que se creó en el paso anterior. Seleccione Convertir en aplicación.
Abra el módulo Autenticación en el Administrador de IIS para este directorio virtual y habilite la autenticación de Windows.
Abra Configuración avanzada en Autenticación de Windows para este directorio virtual y establézcalo en Obligatorio.
Para probar el servicio, acceda a la dirección URL HTTPS desde una ventana del explorador (proporcione un nombre de dominio completo). Si desea acceder a esta dirección URL desde una máquina remota, asegúrese de que el firewall está abierto para todas las conexiones HTTP y HTTPS entrantes.
Abra el archivo de configuración del cliente y proporcione un nombre de dominio completo para el atributo de dirección del cliente o punto de conexión que reemplaza
<<full_machine_name>>.Ejecute el cliente. El cliente se comunica con el servicio, que establece un canal seguro y usa la protección ampliada.