Crear aplicaciones ASP.

NET
seguras
Autenticacin, autorizacin y comunicacin
segura
Consulte la Pgina de entrada como punto de partida y para obtener una descripcin
completa del documento Crear aplicaciones ASP.NET seguras.
Resumen
IPSec es una tecnologa incluida en Windows 2000 que le permite crear canales cirados
entre dos ser!idores. IPSec se puede utili"ar para iltrar el trico IP y autenticar
ser!idores. #n este artculo se muestra cmo conigurar IPSec para proporcionar una
canal seguro $cirado%.
Cmo: Utilizar IPSec para proporcionar
comunicacin segura entre dos servidores
Seguridad de protocolo Internet $IPSec& Internet Protocol Security% se puede utili"ar para
proteger los datos en!iados entre dos equipos& por e'emplo entre un ser!idor de
aplicaciones y un ser!idor de bases de datos. IPSec es totalmente transparente para las
aplicaciones porque el cirado& la integridad y los ser!icios de autenticacin se
implementan en el ni!el de transporte. (as aplicaciones siguen comunicndose entre s
de la manera )abitual mediante los puertos *CP y +,P.
-ediante IPSec se puede )acer lo siguiente.
/
Proporcionar conidencialidad en los mensa'es mediante el cirado de todos los
datos en!iados entre dos equipos.
/
Proporcionar integridad de los mensa'es entre dos equipos $sin cirar los datos%.
/
Proporcionar autenticacin mutua entre dos equipos. Por e'emplo& puede ayudar a
proteger un ser!idor de bases de datos si establece una directi!a que slo permita
solicitudes procedentes de un equipo cliente especico $como un ser!idor de
aplicaciones o un ser!idor Web%.
/
(imitar qu0 equipos pueden comunicarse entre s. *ambi0n puede restringir la
comunicacin a determinados protocolos IP y puertos *CP o +,P.

#n este artculo se muestra cmo proteger el canal de comunicaciones entre un ser!idor
de aplicaciones y un ser!idor de bases de datos que e'ecuta S1( Ser!er 2000. #l
ser!idor de aplicaciones utili"a la biblioteca de red de cliente *CP2IP recomendada para
conectar a S1( Ser!er y utili"a el puerto *CP 3455 predeterminado de S1( Ser!er. (a
coniguracin se muestra en la ilustracin 3.
3
{Insert fgure: o!To " IPSec.gi# $
Ilustracin 3
Confguracin de la solucin del artculo
#n este artculo se describe cmo utili"ar una sencilla directi!a IPSec para e6igir la
siguiente coniguracin.
/
Permitir comunicaciones con S1( Ser!er slo desde el ser!idor de aplicaciones
con *CP a tra!0s del puerto 3455.
/
,escartar los dems paquetes IP& incluidos los paquetes IC-P $ping%.
/
Cirar todos los datos en!iados entre dos equipos para garanti"ar la
conidencialidad.
7 continuacin se enumeran las !enta'as de este planteamiento.
/
Se proporciona conidencialidad de todos los datos en!iados entre los dos
equipos.
/
7umenta de orma considerable la seguridad de S1( Ser!er. (os 8nicos puntos de
ataque restantes son el inicio de sesin interacti!o en el ser!idor de bases de
datos y el control del ser!idor de aplicaciones para intentar atacar S1( Ser!er
mediante el puerto *CP 3455.
/
(a directi!a IPSec es muy sencilla de deinir y de implementar.
#sta directi!a en particular tiene las siguientes des!enta'as.
/
S1( Ser!er no puede comunicarse con los controladores de dominio& lo que
pro!oca las siguientes consecuencias.
/
(a directi!a de grupo no se puede aplicar $el ser!idor de bases de datos debe
ser un ser!idor independiente%.
/
(a autenticacin de Windows entre el ser!idor de aplicaciones y el ser!idor de
bases de datos requiere cuentas locales sincroni"adas $con el mismo nombre
de usuario y contrase9a% en ambos equipos.
/
:o se pueden utili"ar m0todos ms eicaces para aplicar IPSec
$predeterminado de Windows 2000 o ;erberos%.

/
S1( Ser!er no podr comunicarse con otros equipos& incluidos los ser!idores
,:S.
/
#n el planteamiento que se )ace en este artculo se utili"a la autenticacin de
cla!e pre!iamente compartida& que no se recomienda para el entorno de
produccin. (os sistemas de produccin deben utili"ar certiicados o autenticacin
de dominios de Windows 2000. (as directi!as de IPSec que utili"an secretos
2
compartidos pre!iamente son adecuadas para su uso 8nicamente en entornos de
desarrollo o pruebas.
/
7mbos equipos deben contar con una direccin IP esttica.

Notas
/
+na directi!a IPSec consiste en un con'unto de iltros& acciones de iltrado y
reglas.
/
+n filtro se compone de.
/
+na direccin IP o un rango de direcciones de origen.
/
+na direccin IP o un rango de direcciones de destino.
/
+n protocolo IP& como *CP& +,P o <cualquiera<.
/
Puertos de origen y de destino $slo para *CP o +,P%.
/
(os iltros tambi0n se pueden rele'ar en dos equipos. +n iltro rele'ado aplica la
misma regla en el equipo cliente y en el ser!idor $con las direcciones de origen y
de destino in!ertidas%.
/
+na accin de filtrado especiica la accin que se debe lle!ar a cabo cuando se
llama a un iltro determinado. Puede ser una de las siguientes.
/
Permitir. #l trico no est protegido= se permite su en!o y recepcin sin
inter!encin.
/
Bloquear. :o se permite el trico.
/
Negociar la seguridad. (os e6tremos deben ponerse de acuerdo en el
m0todo seguro que utili"arn para comunicarse. Si no pueden ponerse de
acuerdo& la comunicacin no tiene lugar. Si se produce un error en la
negociacin& puede especiicar si se permite la comunicacin no protegida o si
se debe bloquear toda la comunicacin.
/
+na regla asocia un iltro con una accin de iltrado.
/
+na directi!a reflejada es aquella que aplica reglas a todos los paquetes con la
in!ersin e6acta de las direcciones IP de origen y destino especiicadas. #n este
artculo se crea una directi!a rele'ada.

Requisitos
7 continuacin se describen las recomendaciones de )ardware& sotware& inraestructura
de red& conocimientos y Ser!ice Pac> que se necesitan.
/
,os equipos que e'ecuten el sistema operati!o -icrosot? Windows? 2000 Ser!er
,ebe conocer sus direcciones IP.
/
-icrosot? S1( Ser!er@ 2000 en el ser!idor de bases de datos
Resumen
#n este artculo se incluyen los siguientes procedimientos.
3. Crear un iltro IP
2. Crear acciones de iltrado
5. Crear reglas
5
4. #6portar la directi!a IPSec al equipo remoto
A. 7signar directi!as
B. Comprobar que unciona

! Crear un filtro IP
Para crear un nuevo filtro IP en el servidor de "ases de datos
3. Inicie sesin en el ser!idor de bases de datos como administrador.
2. Inicie el complemento de -icrosot -anagement Console $--C% #irectiva de
seguridad local en el grupo de programas $erramientas administrativas!
5. #n el panel i"quierdo& )aga clic con el botn secundario del mouse $ratn% en
#irectivas de seguridad IP en equipo local y& despu0s& )aga clic en
%dministrar listas de filtros IP & acciones de filtrado.
Cer que ya )ay deinidas dos listas de iltros para todo el trico IC-P y todo el
trico IP.
4. Daga clic en %gregar.
A. #n el cuadro de dilogo 'ista de filtros IP& escriba Puerto S(' en el campo
Nom"re.
B. Daga clic en %gregar y& despu0s& en Siguiente para pasar el cuadro de dilogo
inicial del 7sistente para iltros IP.
E. #n el cuadro de dilogo )rigen del tr*fico IP& seleccione #ireccin IP espec+fica
en la lista desplegable #ireccin de origen y& a continuacin& escriba la direccin
IP del ser!idor de aplicaciones.
F. Daga clic en Siguiente.
G. #n el cuadro de dilogo #estino del tr*fico IP& seleccione #ireccin IP
espec+fica en la lista desplegable #ireccin de destino y& a continuacin& escriba
la direccin IP del ser!idor de bases de datos.
30. Daga clic en Siguiente.
33. #n el cuadro de dilogo ,ipo de protocolo IP& seleccione ,CP y& despu0s& )aga
clic en Siguiente.
32. #n el cuadro de dilogo Puerto de protocolo IP& seleccione #esde cualquier
puerto y& despu0s& seleccione % este puerto. #scriba -.. como n8mero de
puerto.
35. Daga clic en Siguiente y& despu0s& en /inalizar para cerrar el asistente.
34. Daga clic en Cerrar para cerrar el cuadro de dilogo 'ista de filtros IP.

0! Crear acciones de filtrado
#n este procedimiento se crean dos acciones de iltrado. (a primera de ellas se utili"ar
para bloquear todas las comunicaciones procedentes de equipos especiicados y la
segunda se utili"ar para e6igir el uso de cirado entre el ser!idor de aplicaciones y el
ser!idor de bases de datos.
Para crear acciones de filtrado
3. Daga clic en la ic)a %dministrar acciones de filtrado.
Hbser!e que ya )ay !arias acciones predeinidas.
2. Daga clic en %gregar para crear una nue!a accin de iltrado.
#n los siguientes pasos& se crear una accin de bloqueo que se puede utili"ar
para bloquear todas las comunicaciones que tengan origen en equipos
seleccionados.
4
5. Daga clic en Siguiente para pasar el cuadro de dilogo inicial del 7sistente para
acciones de iltrado.
4. #n el campo Nom"re& escriba Bloquear y& a continuacin& )aga clic en Siguiente.
A. #n el cuadro de dilogo )pciones generales de acciones de filtrado& seleccione
Bloquear y& despu0s& )aga clic en Siguiente.
B. Daga clic en /inalizar para cerrar el asistente.
E. Daga clic en %gregar para iniciar de nue!o el 7sistente para acciones de iltrado.
#n los pasos siguientes& se crear una accin de iltrado para or"ar el uso de
cirado entre el ser!idor de aplicaciones y el ser!idor de bases de datos.
F. Daga clic en Siguiente para pasar el cuadro de dilogo inicial del 7sistente para
acciones de iltrado.
G. #n el campo Nom"re& escriba Requerir alta seguridad y& a continuacin& )aga
clic en Siguiente.
30. Seleccione Negociar la seguridad y& despu0s& )aga clic en Siguiente.
33. Seleccione No comunicar con equipos que no son compati"les con IPSec y& a
continuacin& )aga clic en Siguiente.
32. Seleccione Personalizada y& despu0s& )aga clic en Configuracin.
35. 7seg8rese de que la casilla de !eriicacin Integridad de datos & cifrado 12SP3
est acti!ada.
34. Seleccione S$% en la lista desplegable %lgoritmo de integridad.
3A. Seleccione .#2S en la lista desplegable %lgoritmo de cifrado.
3B. 7cti!e las dos casillas de !eriicacin del grupo Configuracin de claves de
sesin para generar una nue!a cla!e cada 300000 ;b y 5B00 segundos&
respecti!amente.
3E. Daga clic en %ceptar para cerrar el cuadro de dilogo Configuracin de m4todo
de seguridad personalizado y& despu0s& )aga clic en Siguiente.
3F. 7cti!e la casilla de !eriicacin 5odificar propiedades y& a continuacin& )aga clic
en /inalizar.
3G. ,esacti!e la casilla de !eriicacin %ceptar comunicacin no segura6 pero
responder siempre usando IPSec.
20. 7cti!e la casilla de !eriicacin Confidencialidad directa perfecta de clave de
sesin y& despu0s& )aga clic en %ceptar.
23. Daga clic en Cerrar para cerrar el cuadro de dilogo %dministrar listas de filtros
IP & acciones de filtrado.

.! Crear reglas
#n este procedimiento se crean dos nue!as reglas que se utili"arn para asociar el iltro
que cre en el procedimiento 3 con las dos acciones de iltrado que cre en el
procedimiento 2.
Para crear reglas
3. #n el panel i"quierdo& )aga clic con el botn secundario en #irectivas de
seguridad IP en equipo local y& despu0s& )aga clic en Crear directiva de
seguridad IP.
2. Daga clic en Siguiente para pasar el cuadro de dilogo inicial del 7sistente para
directi!as de seguridad IP.
5. #n el campo Nom"re& escriba Proteger S(' y& a continuacin& )aga clic en
Siguiente.
A
4. ,esacti!e la casilla de !eriicacin %ctivar la regla de respuesta
predeterminada y& despu0s& )aga clic en Siguiente.
A. ,e'e acti!ada la casilla de !eriicacin 5odificar propiedades y )aga clic en
/inalizar.
B. Daga clic en %gregar para iniciar de nue!o el 7sistente para reglas de seguridad.
E. Daga clic en Siguiente para pasar el cuadro de dilogo inicial del 7sistente para
reglas de seguridad.
F. Daga clic en 2sta regla no especifica un t7nel y& despu0s& en Siguiente.
G. Daga clic en ,odas las cone8iones de red y& despu0s& en Siguiente.
30. Daga clic en Usar esta cadena para proteger el intercam"io de claves 1clave
compartida3.
33. #scriba 5iSecreto como cla!e <secreta< en el cuadro de te6to.

Nota: ambos equipos deben tener la misma cla!e para que se puedan comunicar
correctamente. ,ebe utili"ar un n8mero aleatorio largo& pero para los ines de este
artculo& <-iSecreto< ser suiciente.
32. Daga clic en Siguiente.
35. Seleccione la opcin Puerto S('.
Nota: para seleccionar la opcin& debe )acer clic en el crculo $botn de opcin%
en lugar del te6to.
34. Daga clic en Siguiente.
3A. Seleccione la opcin Requerir alta seguridad y& despu0s& )aga clic en Siguiente.
3B. Daga clic en /inalizar para cerrar el cuadro de dilogo Propiedades de Proteger
S('.
3E. Daga clic en %gregar para iniciar de nue!o el 7sistente para reglas de seguridad
y& a continuacin& )aga clic en Siguiente para pasar el cuadro de dilogo inicial.
3F. Daga clic en 2sta regla no especifica un t7nel y& despu0s& en Siguiente.
3G. Daga clic en ,odas las cone8iones de red y& despu0s& en Siguiente.
20. #n el cuadro de dilogo 54todo de autenticacin& de'e seleccionada la opcin
9alor predeterminado de :indo;s 0<<< 1protocolo =er"eros 9>3 y& despu0s&
)aga clic en Siguiente.
Nota: esta regla especiicar la accin de iltrado Bloquear& por lo que no ser
necesaria la autenticacin.
22. #n el cuadro de dilogo 'ista de filtros IP& )aga clic en ,odo el tr*fico IP y&
despu0s& en Siguiente.
25. #n el cuadro de dilogo %ccin de filtrado& seleccione Bloquear y& despu0s&
)aga clic en Siguiente.
24. Daga clic en /inalizar.
2A. Daga clic en Cerrar para cerrar el cuadro de dilogo Propiedades de Proteger
S('.

B
-! 28portar la directiva IPSec al equipo remoto
(a directi!a IPSec que )a creado en el ser!idor de bases de datos debe e6portarse y
copiarse en el ser!idor de aplicaciones.
Para e8portar la directiva IPSec al servidor de aplicaciones
3. #n el panel i"quierdo& )aga clic con el botn secundario en el nodo #irectivas de
seguridad IP en equipo local& eli'a ,odas las tareas y& despu0s& )aga clic en
28portar directivas.
2. #n el campo Nom"re& escriba Proteger S(' y& despu0s& )aga clic en ?uardar
para e6portar el arc)i!o al disco duro local.
5. Copie el arc)i!o .ipsec en el ser!idor de aplicaciones o )aga que est0 disponible
mediante un recurso compartido de arc)i!o.
Importante: puesto que el arc)i!o de la directi!a e6portada contiene una cla!e
compartida pre!iamente en te6to sin ormato& el arc)i!o debe protegerse
correctamente. :o debe almacenarse en el disco duro de ninguno de los equipos.
5. Inicie sesin como administrador en el ser!idor de aplicaciones e inicie el
complemento de --C #irectiva de seguridad local.
4. Seleccione y )aga clic con el botn secundario en #irectivas de seguridad IP en
equipo local& eli'a ,odas las tareas y& despu0s& )aga clic en Importar directivas.
A. Iusque el arc)i!o .ipsec que e6port anteriormente y )aga clic en %"rir para
importar la directi!a.

>! %signar directivas
Para que se acti!e una directi!a IPSec& primero debe asignarse. Hbser!e que slo
puede )aber una directi!a acti!a a la !e" en un equipo determinado.
Para asignar la directiva Proteger S(' en el servidor de aplicaciones & en el
servidor de "ases de datos
3. #n el ser!idor de aplicaciones& )aga clic con el botn secundario en la directi!a
Proteger S1( reci0n importada y& despu0s& )aga clic en %signar.
2. Jepita el paso anterior en el ser!idor de bases de datos.
(a directi!a rele'ada est asignada a)ora en ambos equipos.
(as directi!as aseguran que slo el ser!idor de aplicaciones puede comunicarse
con el ser!idor de bases de datos. 7dems& slo se permiten las cone6iones *CP
que utilicen el puerto 3455 y todo el trico en!iado entre los dos equipos est
cirado.
@! Compro"ar que funciona
#n este procedimiento se utili"a el -onitor de red para comprobar que los datos
en!iados entre el ser!idor de aplicaciones y el ser!idor de bases de datos estn cirados.
Para compro"ar que funciona
3. #n el ser!idor de aplicaciones& utilice Cisual Studio .:#* para crear una nue!a
aplicacin de consola en CK con el nombre S('IPSecClient.
2. Copie el siguiente cdigo en class3.cs para reempla"ar todo el cdigo e6istente.
E
Nota: reemplace la direccin IP de la cadena de cone6in por la direccin IP del
ser!idor de bases de datos.
using System;
using System.Data;
using System.Data.SqlClient;
namespace SQLIPSecClient
{
class Class1
{
[STAThread]
static void Main(string[] args)
{
// Replace the IP address in the following connection string with the IP
// address of your database server
SqlConnection conn = new SqlConnection(
"server=192.168.12.11;database=NorthWind;Integrated Security='SSPI'");
SqlCommand cmd = new SqlCommand(
"SELECT ProductID, ProductName FROM Products");
try
{
conn.Open();
cmd.Connection = conn;
SqlDataReader reader = cmd.ExecuteReader();
while (reader.Read())
{
Console.WriteLine("{0} {1}",
reader.GetInt32(0).ToString(),
reader.GetString(1) );
}
reader.Close();
}
catch( Exception ex)
{
}
finally
{
conn.Close();
}
}
}
}
5. #n el men8 ?enerar& )aga clic en ?enerar solucin.
F
4. Para que la autenticacin de Windows se realice correctamente entre los dos
equipos& debe duplicar en el ser!idor de bases de datos la cuenta con la que )a
iniciado sesin de orma interacti!a en el ser!idor de aplicaciones. 7seg8rese de
que el nombre de usuario y la contrase9a coinciden.
,ebe utili"ar tambi0n el 7dministrador corporati!o de S1( Ser!er para crear un
inicio de sesin en la base de datos para la cuenta reci0n creada y agregar un
nue!o usuario de base de datos para el inicio de sesin en la base de datos
:ort)wind.
A. 7nule temporalmente la asignacin de la directi!a IPSec Proteger S1( en ambos
equipos.
a. Inicie Coniguracin de seguridad local en el ser!idor de aplicaciones.
b. Daga clic en #irectivas de seguridad IP en equipo local.
c. #n el panel derec)o& )aga clic con el botn secundario en Proteger S(' y& a
continuacin& )aga clic en #esasignar.
d. Jepita los pasos a L c en el ser!idor de bases de datos.

A. #n el ser!idor de bases de datos& )aga clic en 5onitor de red dentro del grupo de
programas $erramientas administrativas.
Nota: en Windows 2000 Ser!er se incluye una !ersin limitada del -onitor de red.
#n -icrosot S-S se incluye una !ersin completa.
Si no tiene instalado el -onitor de red& !aya a %gregar o quitar programas en el
Panel de control& )aga clic en %gregar o quitar componentes de :indo;s&
seleccione $erramientas de administracin & supervisin en la lista
Componentes de :indo;s& )aga clic en #etalles y& despu0s& )aga clic en
$erramientas del monitor de red. Daga clic en %ceptar y& despu0s& en
Siguiente para instalar la !ersin limitada de -onitor de red. Puede que se le pida
el C, de Windows 2000 Ser!er.
A. #n el men8 Capturar& )aga clic en /iltro para crear un nue!o iltro conigurado
para !er el trico de red *CP2IP en!iado entre el ser!idor de aplicaciones y el
ser!idor de bases de datos.
B. Daga clic en el botn Iniciar captura.
E. Cuel!a al ser!idor de aplicaciones y e'ecute la aplicacin de consola de prueba. #n
la !entana de la consola debe aparecer una lista de productos de la base de datos
:ort)wind.
F. Cuel!a al ser!idor de bases de datos y )aga clic en el botn #etener & ver
captura en el -onitor de red.
G. Daga doble clic en la primera trama capturada para !er los datos de la captura.
30. ,esplcese )acia aba'o por las tramas capturadas. ,ebe !er la instruccin
S#(#C* en te6to sin ormato seguida de la lista de productos recuperados en la
base de datos.
33. 7signe la directi!a IPSec Proteger S1( en ambos equipos.
a. Inicie Coniguracin de seguridad local en el ser!idor de aplicaciones.
b. Daga clic en #irectivas de seguridad IP en equipo local.
c. #n el panel derec)o& )aga clic con el botn secundario en Proteger S(' y& a
continuacin& )aga clic en %signar.
d. Jepita los pasos a L c en el ser!idor de bases de datos.
32. #n el -onitor de red& cierre la !entana de capturas.
G
35. Daga clic en el botn Iniciar captura y& a continuacin& )aga clic en No en el
cuadro de mensa'e ?uardar arcAivo.
34. Cuel!a al ser!idor de aplicaciones y e'ecute de nue!o la aplicacin de consola de
prueba.
3A. Cuel!a al ser!idor de bases de datos y )aga clic en #etener & ver captura en el
-onitor de red.
3B. Conirme que los datos no son legibles $porque estn cirados%.
3E. Cierre el -onitor de red.
Recursos adicionales
Para obtener ms inormacin acerca de IPSec& consulte <IP Security and Miltering< $en
ingl0s% en *ec):et $)ttp.22www.microsot.com2tec)net2tree!iew2deault.aspN
urlO2tec)net2prodtec)nol2win6ppro2res>it2prccPtcpPerqb.aspNrameOtrueQ%.
Para obtener ms inormacin acerca del -onitor de red& consulte la seccin <:etwor>
-onitor< $en ingl0s% del S,; de la plataorma de -icrosot en -S,:
$)ttp.22msdn.microsot.com2library2deault.aspNurlO2library2enR
us2netmon2netmon2networ>Pmonitor.asp%.

30