Bloquear ataques de reproducción de cookies en Dataverse

Evitar vulnerabilidades de seguridad de secuestro de sesión en Dataverse con enlace de cookies basado en la dirección IP. Digamos que un usuario malintencionado copia una cookie de sesión válida desde una computadora autorizada que tiene habilitada la vinculación de IP de cookies. Luego, el usuario intenta usar la cookie en una computadora diferente para obtener acceso no autorizado a Dataverse. En tiempo real, Dataverse compara la dirección IP de origen de la cookie con la dirección IP del ordenador que realiza la solicitud. Si los dos son diferentes, el intento se bloquea y se muestra un mensaje de error.

El enlace de cookies basado en IP está disponible solo para Entornos gestionados en todos los inquilinos, incluidas las nubes gubernamentales. Puede habilitar esta característica en el Centro de administración de Power Platform.

Habilitar enlace de cookies basado en direcciones IP

1. Inicie sesión en el centro de administración de Power Platform como administrador.

2. Seleccione Entornos y luego seleccione un entorno.

3. Seleccione Configuración>Producto y después seleccione Privacidad + Seguridad.

4. En Configuración de la dirección IP, seleccione Habilitar el enlace de cookies basado en la dirección IP.

5. Seleccione Guardar.

¿Cómo funciona el enlace de cookies basado en direcciones IP?

El enlace de cookies basado en IP establece el reclamo de dirección IP en la cookie de sesión. Cada solicitud se evalúa para comparar la dirección IP actual con la dirección IP de origen que se almacenó en la cookie cuando se creó. Si las direcciones no coinciden, se deniega el acceso al usuario.

Escenarios en los que se pide a los usuarios que se vuelvan a autenticar

• Cuando cualquier cliente VPN está activado o desactivado
• Al conectarse a un punto de acceso inalámbrico
• Cuando el proveedor de servicios de Internet restablece la conexión a Internet
• Cuando se restablece o reinicia un enrutador

Cómo probar la característica

1. Borrar todas las cookies del navegador. Este paso es importante para garantizar que se genere una nueva cookie.

2. Inicie sesión en un entorno de Dynamics 365 que tenga habilitado el enlace de cookies basado en IP.

3. Utilice una herramienta de cliente como Fiddler para copiar la cookie de sesión.

4. Envíe una solicitud desde un equipo alternativo (fuera de la red original) utilizando la cookie de sesión obtenida previamente. Debería esperar recibir un error HTTP 403 como respuesta.

Exclusiones

• Si el usuario se conecta a Dataverse desde la misma dirección IP con la cookie antigua y válida, Dataverse acepta la cookie.
• Si el tráfico entre su red y Power Platform está configurado para usar un proxy inverso con una dirección IP dinámica, el enlace de cookies basado en IP no funcionará.

Preguntas frecuentes

¿Esta característica está disponible en Dataverse?

El enlace de IP de cookies está disponible para la cookie CrmOwinAuth en Interfaz unificada.

¿Qué tan pronto entra en vigencia el cambio una vez que se realiza en el centro de administración de Power Platform?

Normalmente, el cambio surte efecto en unos cinco minutos.

¿Esta función funciona en tiempo real?

La función evalúa la cookie en tiempo real, a excepción de la solicitud inicial que se realiza después de habilitar la función.

¿Está función está habilitada de forma predeterminada en todos los entornos?

De forma predeterminada, la característica de vinculación de IP de cookie está deshabilitada. Los administradores deben habilitarla en el centro de administración Power Platform.