Comprensión e Implementación de la Autenticación con Tarjeta Inteligente

Descripción general de la autenticación y las tarjetas inteligentes

Los administradores tienen que proteger la red de los ataques lanzados por hackers, espías, terroristas, ladrones y delincuentes. La seguridad abarca numerosas tecnologías, protocolos, estándares, políticas, contraseñas y claves secretas. Todos estos mecanismos suelen centrarse en lo siguiente::

• Autenticación

• Control de Acceso

• Protección de Datos

• Auditoría/Rendición de Cuentas

La autenticación es el proceso por el cual una entidad se identifica a sí misma, antes de que se permita el inicio de sesión de red. Después de autenticar a un usuario, el control de acceso define a qué recursos se puede acceder, qué acciones se pueden realizar en el recurso y si estas acciones se auditan o no. El control de acceso se implementa especificando permisos para recursos y objetos, y asignando derechos a los usuarios. La protección de datos implica dos conceptos de seguridad, a saber, la confidencialidad de los datos y la integridad de los datos. La confidencialidad de los datos se ocupa de asegurar los datos a medida que se transmiten a través de la red mediante la aplicación de operaciones criptográficas. Los algoritmos de cifrado y la utilización de claves privadas y públicas proporcionan confidencialidad de los datos. Cualquier parte no autorizada que intercepte el mensaje, no podrá interpretar el contenido del mensaje. La integridad de los datos se implementa a través de la firma digital de mensajes y archivos. Mediante el uso de firmas digitales, puede determinar si el mensaje fue manipulado o no. A partir de esta breve discusión, puede ver que se incluyen muchos conceptos y principios al hablar de seguridad. Entonces, ¿dónde encajan las tarjetas inteligentes en el proceso de proteger la red y los recursos de una organización de ataques maliciosos? La respuesta es la autenticación.

Como se mencionó anteriormente, la autenticación es un proceso mediante el cual los usuarios u otras entidades se identifican a sí mismos para que puedan intentar acceder a los recursos de red. La autenticación es el paso inicial en el proceso de permitir que los usuarios accedan a los recursos de red. En Active Directory, la autenticación de usuario se produce cuando el usuario proporciona credenciales de cuenta de usuario, como el nombre de inicio de sesión del usuario, la contraseña y el identificador de seguridad (SID) del usuario.

La autenticación en entornos Windows Server 2003 implica los dos procesos siguientes:

• Inicio de sesión interactivo: El inicio de sesión interactivo se produce cuando un usuario inicia sesión en el sistema utilizando una contraseña o una tarjeta inteligente.

• Autenticación de red: La autenticación de red se produce cuando se permite a un usuario acceder a recursos, sin que el usuario tenga que volver a introducir esta contraseña o el número de identificación personal (PIN) de la tarjeta inteligente.

El usuario o entidad demuestra su identidad mediante el uso de un secreto compartido. El secreto compartido puede ser uno de los componentes enumerados a continuación, y debe ser un secreto entre el usuario que solicita la autenticación y el autenticador para que la autenticación se realice correctamente:

• Una contraseña

• Una clave de cifrado

• Un ALFILER secreto

Los protocolos de autenticación se utilizan para compartir el secreto entre el usuario y el autenticador. El autenticador permite el acceso o deniega el acceso al solicitante. A continuación se enumeran los protocolos de autenticación que se pueden usar en entornos Windows Server 2003:

• Kerberos versión 5, utilizado para la autenticación de red. Kerberos versión 5 se utiliza para el proceso de autenticación de inicio de sesión interactivo y para la autenticación de red en Windows Server 2003.

• Capa de sockets seguros / Seguridad de la capa de transporte (SSL / TLS), que se utiliza para la autenticación de red y se basa en certificados de clave pública X. 509.

• Microsoft Windows NT LAN Manager (NTLM), utilizado para autenticación de red, pero principalmente para compatibilidad con Microsoft Windows NT 4.

• Protocolo de autenticación por desafío de Microsoft versión 2 (MS-CHAP v2), utilizado para autenticación de red y autenticación por acceso telefónico.

• Protocolo de autenticación de contraseña (PAP), utilizado para la autenticación de red y la autenticación por acceso telefónico.

• Protocolo de Autenticación extensible: Seguridad de nivel de transporte (EAP-TLS), que se utiliza para la autenticación de conexiones inalámbricas.

• Protocolo de autenticación extensible (EAP), utilizado para la autenticación de red y la autenticación por acceso telefónico, e incluye soporte para tarjetas inteligentes (autenticación habilitada por hardware).

La autenticación habilitada por hardware se produce cuando las claves de cifrado se almacenan en una tarjeta inteligente, una tarjeta de PC u otro mecanismo de token criptográfico, y el usuario necesita tener la tarjeta inteligente y el PIN o la contraseña para pasar la autenticación y acceder al sistema. Esto proporciona un nivel adicional de seguridad porque cualquier persona no autorizada que intente acceder al sistema necesita la tarjeta inteligente y el PIN o la contraseña.

La autenticación con tarjeta inteligente se basa en el uso de tarjetas inteligentes y es compatible con Windows 2000 y Windows Server 2003. Una tarjeta inteligente es un dispositivo de seguridad o un token de hardware del tamaño de una tarjeta de crédito que se puede usar para proporcionar protección adicional a aplicaciones y protocolos de seguridad.

Las tarjetas inteligentes proporcionan las siguientes características:

• Método seguro de autenticación de usuario

• Inicio de sesión interactivo

• Inicios de sesión de acceso remoto

• Inicios de sesión de administrador

• Firma de código segura

• Correo electrónico seguro

En entornos de red, se utilizan normalmente para los siguientes fines

• Iniciar sesión en un ordenador

• Cifrado de correo electrónico

• Cifrado de archivos de disco a través de EFS

Como se mencionó anteriormente, la tarjeta inteligente la autenticación proporciona una autenticación muy sólida porque el usuario debe poseer la tarjeta inteligente y conocer el número de identificación personal (PIN). Puede bloquear una tarjeta inteligente del sistema después de que se haya realizado un número sucesivo de intentos de inicio de sesión sin éxito. Para habilitar estas funciones, la autenticación con tarjeta inteligente implica el uso de un lector de tarjetas inteligentes que se conecta al ordenador. Se recomienda utilizar lectores Plug and Play (PnP) con Windows Server 2003. La tarjeta inteligente contiene un microprocesador y una memoria flash permanente que contiene la información de inicio de sesión del usuario, la clave privada, los certificados digitales y otra información privada. Cuando el usuario inserta la tarjeta inteligente en el lector de tarjetas inteligentes, debe proporcionar el PIN para iniciar sesión en el sistema. Las tarjetas inteligentes están diseñadas para proporcionar autenticación a prueba de manipulaciones. La diferencia entre las tarjetas inteligentes y las claves privadas de software es que puede mover tarjetas inteligentes de un ordenador a otro.

El lector de tarjetas inteligentes generalmente está conectado al puerto serie, al puerto USB o al puerto PCMCIA de la computadora. Dado que las PC, las computadoras portátiles y las PDA tienen uno de estos puertos, todos los equipos admiten lectores de tarjetas inteligentes. Las tarjetas inteligentes están disponibles en varias formas. La mayoría, sin embargo, tienen un parecido con las tarjetas de crédito. Las tarjetas inteligentes más avanzadas utilizan magnetismo. Lo que esto significa es que no necesitan tener contactos externos. Una forma común es el dongle que puede caber en un puerto USB. Desde aquí, el Proveedor de Servicios Criptográficos (CSP) accede a él. La forma de dongle no necesita ningún lector especial. La caída del formulario es que es aproximadamente cuatro veces más costoso que los formularios de tarjetas inteligentes convencionales. Si bien la instalación de una implementación de tarjeta inteligente puede ser compleja y costosa, otro proceso difícil es determinar qué proveedor usar. Los controladores de los productos de tarjetas inteligentes de Gemplus y Schlumberger están integrados en el sistema operativo.

Consideraciones de implementación de tarjetas inteligentes

La autenticación mediante tarjetas inteligentes es compatible con Windows 2000 y Windows Server 2003, pero depende de la Infraestructura de clave Pública (PKI). La PKI tiene que existir antes de que pueda implementar la autenticación con tarjeta inteligente. Se recomienda utilizar una entidad de certificación empresarial (CA) para la autenticación basada en tarjetas inteligentes. No se recomienda el uso de entidades de CA independientes y entidades de CA externas con autenticación con tarjeta inteligente.

Si bien hay un buen número de proveedores para elegir para proporcionar su tecnología de tarjeta inteligente, recuerde que Windows Server 2003 no es compatible con lectores de tarjetas inteligentes Plug and Play. Se recomienda utilizar solo tarjetas inteligentes y lectores compatibles con computadoras personales / tarjetas inteligentes (PC / SC), incluso cuando un proveedor proporciona lectores de tarjetas inteligentes que no se conectan y funcionan con Windows Server 2003. Además de la implementación de una PKI, cada computadora necesita un lector de tarjetas inteligentes.

Debido a que el costo siempre es un factor importante, puede considerar los factores que se enumeran a continuación como aquellos que afectan el costo de administrar una implementación de tarjeta inteligente:

• El número de usuarios que usarán el programa de tarjeta inteligente, así como dónde se encuentran estos usuarios en particular.

• La forma en que se emitirán tarjetas inteligentes a los usuarios. También deben incluirse los requisitos para verificar la identidad de los usuarios.

• El procedimiento que se utilizará cuando los usuarios extravíen o dañen las tarjetas inteligentes que se les hayan expedido.

Al planificar una solución de autenticación con tarjeta inteligente, debe definir los métodos de autenticación y de inicio de sesión que se utilizarán. Esto incluiría:

• Identificar las estrategias de autenticación que se van a implementar.

• Dependencias de PKI.

• Cualquier problema de implementación de tarjetas inteligentes.

Preparación de la ICP para una implementación de tarjeta Inteligente

Como se mencionó anteriormente, las tarjetas inteligentes dependen de la implementación de una ICP. Las tarjetas inteligentes necesitan certificados para administrar qué usuarios pueden autenticarse con tarjetas inteligentes. Los certificados se utilizan para verificar las identidades de los usuarios, las aplicaciones, los equipos y los servicios, y se pueden utilizar para proteger el correo electrónico, para la autenticación de código web y de aplicaciones y para habilitar el uso de tarjetas inteligentes. Una autoridad de certificación (CA) emite certificados a usuarios y otras entidades.

El certificado suele contener la siguiente información:

• El número de serie del certificado

• la Información que identifica al usuario.

• Información que identifica a la CA que emitió el certificado.

• La clave pública del usuario

• El período de validez del certificado

• El nombre completo de la entidad emisora servidor

La capacidad de la PKI para tarjetas inteligentes es una característica atractiva de Windows implementación de PKI. Para implementar tarjetas inteligentes, uno de los primeros pasos es instalar servicios de certificados en un servidor dentro de su entorno y configurar el servidor como una CA empresarial. Después de esto, deberá crear tres plantillas de certificado para habilitar el uso de tarjetas inteligentes dentro de su organización. Las plantillas de certificado se pueden definir como un conjunto de reglas y configuraciones que especifican el contenido y el formato de los certificados que se emiten, en función del uso previsto. Configure plantillas de certificado en las CA dentro de su implementación de PKI. La plantilla de certificado se aplica cuando un usuario solicita un certificado de la CA. Solo las CA empresariales de Windows Server 2003 utilizan plantillas de certificados almacenadas en Active Directory para crear certificados para usuarios y equipos.

Para una implementación de tarjeta inteligente, debe crear las tres plantillas de certificado siguientes:

• Certificado de agente de inscripción: Esta plantilla de certificado permite que un equipo con Windows Server 2003 sirva como estación de inscripción. La estación de inscripción crea y emite certificados para los usuarios de tarjetas inteligentes.

• Certificado de inicio de sesión con tarjeta inteligente: Esta plantilla de certificado permite a los usuarios autenticarse con tarjetas inteligentes.

• Certificados de Usuario de Tarjeta Inteligente: Esta plantilla de certificado permite a los usuarios proteger el correo electrónico después de la autenticación.

Implementación de tarjetas inteligentes

Los pasos típicos para implementar una solución de tarjetas inteligentes en una organización se enumeran a continuación. Los pasos reales están determinados por la forma en que se utilizan las tarjetas inteligentes en la ICP:

• Configurar una estación de inscripción

• Defina las plantillas de certificado necesarias para la CA y Active Directory.

• Definir los agentes de inscripción que emitirán tarjetas inteligentes

• Preparar las tarjetas inteligentes

• Emitir certificados a la tarjeta inteligente para los usuarios

• Configurar servidores de acceso remoto para aceptar la autenticación con tarjeta inteligente

• Inscribir los servidores para certificados de equipo

Dado que las plantillas de certificado utilizadas por las tarjetas inteligentes no se instalan de forma predeterminada en una CA de empresa, deberá usar la consola de Entidad de certificación para configurar estas plantillas de certificado. Además, debe asignar a los usuarios los permisos correctos para las plantillas de certificado. Para cambiar los permisos de una plantilla de certificado, debe ser miembro del grupo Administradores de dominio del dominio raíz del bosque o miembro del grupo Administradores de empresa.

Cómo establecer permisos en plantillas de certificado

1. Haga clic en Inicio, Ejecutar e introduzca certtmpl.msc en el cuadro de diálogo Ejecutar. Haga clic en Aceptar.

2. Busque y haga clic con el botón secundario en el certificado cuyos permisos desea modificar y, a continuación, haga clic en Propiedades en el menú contextual.

3. Haga clic en la pestaña Seguridad.

4. Asigne usuarios y grupos que necesiten solicitar certificados basados en la plantilla de certificado concreta, los permisos de lectura e inscripción.

5. Haga clic en Aceptar.

El servidor de certificados incluido en Windows Server 2003 incluye una estación de inscripción de tarjetas inteligentes que se puede usar para distribuir certificados a los usuarios. Puede usar la estación de inscripción de tarjetas inteligentes para solicitar un certificado de tarjeta inteligente en nombre del usuario. Esto a su vez le permite preinstalarlo en la tarjeta inteligente del usuario. Antes de que los usuarios puedan solicitar certificados, debe preparar la estación de inscripción para crear los certificados. El primer paso para preparar la CA para emitir certificados de tarjeta inteligente es crear el certificado de agente de inscripción.

Cómo crear el certificado de agente de inscripción

1. Haga clic en Inicio, Herramientas administrativas y, a continuación, en Entidad de certificación.

2. En el árbol de consola, expanda Autoridad de certificación, < Nombre de servidor> y Plantillas de certificado.

3. Haga clic en Nuevo y, a continuación, en Certificado para emitir en el menú Acción.

4. Elija Plantilla de Agente de inscripción. Haga clic en Aceptar.

5. En el menú Acción, haga clic en Nuevo y, a continuación, en Certificado para emitir en el menú Acción

   • Si desea crear certificados para la autenticación de usuarios, elija la plantilla de certificado de inicio de sesión con tarjeta inteligente. Haga clic en Aceptar.

   • Si desea crear certificados para la autenticación de usuarios y para el cifrado de la información del usuario, elija la plantilla de certificado de usuario de tarjeta inteligente. Haga clic en Aceptar.

6. Las plantillas de certificado ahora deben mostrarse en la ventana de la consola

7. Cierre la consola de la Entidad de certificación.

Cómo crear una estación de inscripción de certificados de tarjeta inteligente

1. Inicie sesión en la máquina

2. Haga clic en Inicio, Ejecutar e introduzca mmc en el cuadro de diálogo Ejecutar. Haga clic en Aceptar

3. En el menú Archivo, haga clic en Agregar o Quitar complemento y, a continuación, haga clic en Agregar.

4. haga Doble clic en el complemento Certificados. Haga clic en Aceptar.

5. Haz clic en Cerrar.

6. En el complemento Certificados, expanda Certificados, Usuario actual y, a continuación, Personal.

7. Seleccione Todas las tareas y, a continuación, Solicite un certificado nuevo en el menú Acción.

8. Cuando se inicie el Asistente de solicitud de certificados, haga clic en Siguiente.

9. Cuando se abra la página Tipos de certificado, haga clic en Agente de inscripción y, a continuación, en Siguiente.

10. En la página Nombre descriptivo y Descripción del certificado, escriba una descripción para el certificado. Haga clic en Siguiente.

11. Cuando se abra la página de resumen, haga clic en Finalizar.

La configuración de los usuarios para que utilicen tarjetas inteligentes incluye la compra e instalación de lectores de tarjetas inteligentes para todas las estaciones de trabajo de los usuarios. La instalación de lectores de tarjetas inteligentes compatibles con Plug and Play suele ser una instalación de hardware sencilla.

Los lectores de tarjetas inteligentes compatibles con Windows XP y Windows Server 2003 se enumeran a continuación.

• American Express, GCR435 – USB port

• Bull, SmarTLP3 – serial port

• Compaq, Serial reader – serial port

• Gemplus, GCR410P – serial port

• Gemplus, GPR400 – PCMCIA port

• Gemplus, GemPC430 – USB port

• Hewlett-Packard, ProtectTools, – serial port

• Litronic, 220P, – serial port

• Schlumberger, Reflex 20 – PCMCIA port

• Schlumberger, Reflex 72 – serial port

• Schlumberger, Reflex Lite – serial port

• SCM Microsystems, SCR111 – serial port

• SCM Microsystems, SCR120 – PCMCIA port

• SCM Microsystems, SCR200 – serial port

• SCM Microsystems, SCR300 – USB port

• Systemneeds, External – serial port

• Omnikey AG, 2010 – serial port

• Omnikey AG, 2020 – USB port

• Omnikey AG, 4000 – PCMCIA port

Some smart card los controladores de lector están preinstalados en Windows Server 2003, mientras que otros no. Puede instalar un lector de tarjetas inteligentes en la computadora conectando el lector de tarjetas inteligentes a un puerto serie o puerto USB. Para portátiles, inserte el lector de tarjetas inteligentes en una ranura PCMCIA.

Después de instalar el lector de tarjetas inteligentes, la Estación de inscripción debe utilizarse para las siguientes tareas:

• Instale certificados de inicio de sesión de tarjeta inteligente o de usuario para las tarjetas inteligentes de sus usuarios.

• Establezca el PIN inicial para el usuario.

Cuando se instalan los lectores de tarjetas inteligentes, el siguiente paso es emitir certificados de tarjetas inteligentes a los usuarios. Este proceso se conoce como inscripción. Antes de inscribir a un usuario y entregarle una tarjeta inteligente, debe informar a los usuarios sobre estos puntos:

• Los usuarios deben abstenerse de doblar la tarjeta inteligente porque pueden dañar los mecanismos internos de la tarjeta inteligente.

• los Usuarios deben proteger el exterior chip de tarjeta inteligente de rayones o abolladuras. Es posible que el lector de tarjetas inteligentes no pueda leer la información almacenada en la tarjeta si se daña de esta manera.

• Los usuarios deben almacenar sus tarjetas inteligentes en un lugar fresco y seco, y a salvo de cualquier otra fuente magnética, como las tarjetas de crédito. Las temperaturas altas excesivas podrían hacer que la tarjeta inteligente se vuelva quebradiza y rompible.

Para inscribir a un usuario de tarjeta inteligente,

1. Acceda a la estación de trabajo mediante una cuenta de usuario que tenga los derechos necesarios en la plantilla de certificado del Agente de inscripción para el dominio que contiene la cuenta de usuario.

2. Abra Internet Explorer y acceda a la CA introduciendo http://CA nombre del servidor / certsrv.

3. En la página de bienvenida, haga clic en Solicitar un certificado

4. En la página Solicitar un certificado, haga clic en Solicitud de certificado avanzado.

5. En la página Solicitud de certificado avanzado, seleccione la opción Solicitar un certificado para una tarjeta inteligente en nombre de otro usuario.

6. En la página Estación de inscripción de certificados de tarjeta inteligente, elija crear una de las siguientes opciones:

   • Certificado de inicio de sesión con tarjeta inteligente

   • Certificado de usuario de tarjeta inteligente

7. En el cuadro de lista Entidad de certificación, elija el nombre de la CA del dominio que debe emitir certificados de tarjeta inteligente.

8. En el cuadro de lista Proveedor de servicios criptográficos, escriba el nombre del proveedor que está utilizando para las tarjetas inteligentes.

9. En el cuadro Certificado de firma de administrador, escriba el nombre del certificado de agente de inscripción que firmará la solicitud de inscripción de certificados. Haga clic en Siguiente.

10. En la página Usuario para inscribir, haga clic en Seleccionar usuario para buscar la cuenta de usuario para la que desea crear un certificado de tarjeta inteligente y, a continuación, haga clic en Inscribir.

11. Coloque la tarjeta inteligente del usuario en el lector de tarjetas inteligentes y haga clic en Aceptar.

12. Proceda a introducir el PIN inicial de la tarjeta inteligente.

13. Haga clic en Ver certificado para verificar que el certificado se emitió al usuario que especificó.

Un servidor de acceso remoto Windows 2000 o Windows Server 2003 admite el inicio de sesión con tarjeta inteligente. Para habilitar el inicio de sesión con tarjeta inteligente para estos servidores, debe configurar el servicio RRAS para que use el Protocolo de autenticación Extensible (EAP). Luego, debe especificar el inicio de sesión con tarjeta inteligente como método EAP.

Para configurar un servidor de acceso remoto Windows 2000 o Windows Server 2003 para el inicio de sesión con tarjeta inteligente,

1. Abra la consola RRAS desde Toos administrativos.

2. Proceda a abrir el cuadro de diálogo Propiedades del servidor de acceso remoto que debe aceptar el inicio de sesión con tarjeta inteligente.

3. Haga clic en la pestaña Seguridad.

4. Haga clic en Autenticación de Windows y, a continuación, en Métodos de autenticación.

5. Elija la opción Protocolo de autenticación Extensible (EAP).

6. Haga clic en Métodos EAP.

7. Utilice la lista disponible para buscar y hacer doble clic en Tarjeta Inteligente u otro certificado. Haga clic en Aceptar.

8. Proceda a anular la selección de las otras opciones de autenticación. Haga clic en Aceptar.

9. En el cuadro de diálogo Propiedades del servidor, haga clic en Aceptar.

10. En la consola RRAS, busque Directivas de acceso remoto en el árbol de consola.

11. Haga Doble Clic En Permitir Acceso Si El Permiso De Acceso Telefónico Está Habilitado.

12. Cuando se abra el cuadro de diálogo Propiedades, haga clic en Editar perfil.

13. Haga clic en la ficha Autenticación.

14. Haga clic en Métodos EAP.

15. Cuando se abra el cuadro de diálogo Seleccionar proveedores de EAP, haga clic en Agregar.

16. En el cuadro de diálogo Agregar EAP, elija la opción Tarjeta inteligente u otro certificado.

17. Haga clic en Aceptar.

18. En el cuadro de diálogo Seleccionar proveedores de EAP, haga clic en Editar.

19. Cuando se abra el cuadro de diálogo Propiedades de tarjeta inteligente u otras propiedades de certificado, en el cuadro Certificado emitido Para, elija el certificado de equipo emitido para el servidor en particular.

20. Hacer clic OK y cierre todos los cuadros de diálogo abiertos.

Puede habilitar ciertas configuraciones de directiva en la Directiva de grupo que pueden ayudar a simplificar la administración de tarjetas inteligentes en su entorno:

• Umbral de bloqueo de cuenta: Puede usar la configuración de esta directiva para proteger el proceso de autenticación con tarjeta inteligente de ataques de contraseña.

• No permitir la redirección de dispositivos de tarjetas inteligentes: Cuando está habilitada, los usuarios no podrán usar tarjetas inteligentes para iniciar sesión en un servidor de Terminal Services.

• En la eliminación de tarjetas inteligentes: Puede usar esta configuración para evitar que los usuarios ejecuten sesiones activas desatendidas. Utilice esta configuración para especificar que las sesiones de los usuarios están bloqueadas o desconectadas cuando quitan sus tarjetas inteligentes del lector de tarjetas inteligentes.

• Tarjeta inteligente necesaria para el inicio de sesión interactivo: Cuando está habilitada, un usuario solo puede iniciar sesión en el equipo local mediante la autenticación con tarjeta inteligente. El usuario no puede usar una cuenta de usuario y proporcionar las credenciales de nombre de usuario y contraseña para iniciar sesión.