| Artículos | 01 SEP 2007

Fortaleciendo el acceso con SmartID Corporate 2006

Tags: Histórico
Nuevas amenazas y soluciones para los pagos en la Red
Carlos Chenel.
Cada vez es más usual que, para tener acceso a una red corporativa de entidades públicas, como la Seguridad Social o Hacienda, por ejemplo, haya que confirmar la identidad del usuario, autentificando el acceso. La aparición de entidades especializadas en suministrar y soportar infraestructuras de clave pública, como la fábrica de la moneda y timbre, el propio dni digital, ayuntamientos o colegios de notarios están potenciando el uso de certificados incluidos en tarjetas inteligentes.

Sin reparar en ello, día a día utilizamos tarjetas de uso cotidiano en multitud de sistemas de identificación inteligente, como los incluidos en los teléfonos móviles, las tarjetas de televisión de pago o tarjetas bancarias, entre otras. En el plano profesional, es normal que los departamentos de administración procedan a identificarse con las administraciones públicas a través de firmas electrónicas y, recientemente, la parición del DNI electrónico, que llevará a millones de ciudadanos a disponer de un medio de autentificación y firma electrónica más seguro y sencillo de gestionar.
Por otra parte, en la mente de todo administrador de sistemas está el poder garantizar que la persona que se identifica en las redes corporativas es realmente quien dice ser. Pero no basta con diseñar una arquitectura robusta, con sistemas cortafuegos, estableciendo claves de acceso complejas y verificando usos indebidos, entre otros. La mayor atención de todo este eslabón la debe captar el propio usuario poseedor a la postre de un ID (identificador) y una clave (contraseña), que le va a dar acceso a los recursos del sistema. Conseguir que los usuarios utilicen claves complejas y largas es una tarea muy complicada. Si además le unimos la caducidad y renovación de nuevas claves, distintos identificadores y claves en función a los diferentes roles, dependiendo desde dónde se conectan LAN, WAN, VPN o redes inalámbrica, se hace evidente la necesidad de establecer sistemas de autentificación single sign-on (permitiendo al usuario acceder a varios sistemas con una sola instancia de autentificación) y robustecer el acceso incluyendo factores de nivel 2. En definitiva, la creación de políticas, procesos y arquitecturas que refuercen el sistema, incluyendo tecnologías de gestión de identidades. En este sentido, la inclusión de tarjetas inteligentes en estos sistemas refuerza claramente y asegura la integridad del mismo.
Desde la aparición de Windows 2000, Microsoft viene soportando como método de autentificación el protocolo Kerberos, utilizando extensiones para facilitar el inicio de sesión con tarjetas inteligentes. Para ello utiliza una arquitectura basada en capas en la que la interfaz de usuario se basa en la librería msgina.dll (Winlogon Graphical Identification aNd Autentication) también conocida como GINA. Muchos sistemas de factor de autentificación, tanto de nivel 2 como de nivel 3 del modelo OSI, utilizan sus propias librerías, suplantando a GINA en esta labor. El despliegue de una solución que sustituye librerías del sistema operativo es una práctica poco recomendable, siendo más complejo tanto el escalado como el mantenimiento de soluciones que alteran partes del sistema operativo.
SmartID Corporate 2006 es una solución de autentificación con tarjetas inteligentes y cualquier certificado x509v3, permitiéndonos el inicio de sesión en Windows contra el Directorio Activo, sin necesidad de sustituir el inicio original de Windows, ni realizando complejas modificaciones en el esquema del Directorio Activo. Para que esto sea posible, los controladores de dominio (CD) deben estar configurados con un certificado de controlador de dominio que habremos desplegado desde la propia emisora de certificados del dominio.
Por su parte, la instalación del software es muy sencilla: únicamente consta de dos módulos, el de componentes base y el módulo de administración, basados ambos en tecnología MSI 2.0.

El módulo de componentes base de SmartID
Este módulo debe instalarse en todos los controladores de dominio, así como en todos los equipos servidores y estaciones en las que queramos habilitar el inicio con funcionalidades de SmartID Corporate. Una vez ejecutado el programa de instalación nos pedirá reiniciar el equipo. Es importante que planifiquemos una ventana de mantenimiento, en la que el impacto del reinicio afecte lo menos posible a los servicios que están ejecutándose en los diferentes servidores. Asimismo, hemos de instalarlo en todos y cada uno de nuestros controladores de dominio, pues si dejamos alguno fuera de la instalación implicaría que la respuesta de inicio de sesión no sería homogénea, pudiéndose rechazar peticiones de inicio de sesión con tarjetas inteligentes en los clientes que se validen contra los servidores no instalados. Otro requisito a tener en cuenta es que la instalación, lógicamente, requiere ejecutarse en un contexto de seguridad con privilegios administrativos.
Los sistemas operativos soportados van desde Windows 2000/SP4 (pro-server) pasando por XP Professional con SP2, hasta Windows 2003 Standard, Enterprise, Web Editions SP1 pasando por Windows 2003 R2 Standard o Enterprise (recientemente Windows Vista Business, Enterprise). Asimismo, todos los equipos desde los que queramos iniciar sesión con certificado digital deben disponer de dispositivo lector de certificados que cumpla con las especificaciones del estándar PC/SC Workgroup 1.0, que es el que va a permitir la comunicación entre la tarjeta y el ordenador. Igualmente, la tarjeta inteligente debe ser conforme a los estándares ISO 7816-1, 7816-2, 7816-3.

El módulo de administración
Una vez instalado el módulo de componentes base, procedemos a configurar el sistema. Para ello, seleccionaremos un equipo en el que instalar el módulo de administración. Puede ser una estación de trabajo con Windows XP o un servidor, pero el equipo que elijamos debe tener instaladas las herramientas administrativas del servidor (en nuestro caso también de Exchange, pues utilizaremos atributos incluidos en el Directorio Activo). Como decíamos con anterioridad, la instalación requiere ejecutarse en un contexto de seguridad con privilegios administrativos. Una vez terminada, creamos una consola de políticas SmartID. Para ello, invocaremos desde la ventana de ejecución de comandos la instrucción MMC y añadiremos un SnapIn llamado SmardID Policy. Toda la información que maneja la aplicación, tanto de configuración como de asociación de certificados a cuentas, reside en el Directorio Activo sin que se modifique el esquema.

Instalación de módulos CSP
Para poder utilizar diferentes tarjetas electrónicas es necesaria, para su correcto funcionamiento, su instalación en cada equipo que las vaya a usar. Existen dos tipos: PKC#11 y CSP. En la plataforma Windows lo habitual es usar módulos CSP, que podemos localizar y descargar de cada fabricante de tarjetas que utilicemos. En nuestro caso, para las pruebas que hemos realizado disponemos de tres unidades: la tarjeta Criptográfica CERES, de la Fábrica Nacional de Moneda y Timbre (FNMT), que incluye un certificado de usuario de esta entidad certificadora; un Documento Nacional de Identidad Electrónico (DNIe), que incluye un certificado de autentificación y una firma electrónica; y, por último, una tarjeta Smartcard GemSafe Xpresso 32K con unas altas prestaciones criptológicas, a la que incluimos un certificado de

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información