Tags: La seguridad en Windows 2000
Con o sin razón, Microsoft Windows NT ha sido desde hace mucho el chivo expiatorio de la comunidad de la seguridad empresarial. De hecho, en las críticas que los seguidores de Unix hacen de Windows NT, la seguridad es secundaria en comparación con la capacidad de escalarse. Pero con la introducción del Active Directory en Windows 2000, Microsoft aprovecha la oportunidad de cambiar su estructura de seguridad y no sólo restringir la LAN sino poner en funcionamiento mecanismos que permitirán compartir la información con seguridad mucho más allá de ésta.
En el centro del nuevo modelo se encuentra Kerberos, un protocolo que en un principio se desarrolló en MIT. A diferencia de los sistemas que utiliza Windows NT 4.0 (el predecesor de Windows 2000), en los que era un protocolo patentado, Kerberos permite que los usuarios comprueben la autenticidad sin enviar sus contraseñas por cable ni almacenarlas en las máquinas locales. En su lugar, permite que los usuarios finales adquieran una clave única en el momento del registro desde la autoridad de seguridad central en el Domain Controller, que se conoce como Key Distribution Center, o KDC.
Entonces, cuando el cliente solicita un servicio en la red, como recuperar un archivo de un servidor, Kerberos se conecta con el KDC mediante esta clave. Si el usuario recibe la autorización del KDC, este último le da al cliente un boleto, que se utiliza entonces para establecer una conexión con el servicio o recurso específico. Esta clave se guarda en la máquina local, y si el usuario quiere acceder a ese servicio en otra ocasión, es posible invocarla desde el caché dentro del límite de tiempo que se establece para la clave. Por lo regular, las claves funcionan durante 8 horas, y una de las ventajas principales de Kerberos es que, si el cliente vuelve a pedir el mismo servicio dentro de ese marco de tiempo, no es necesario comunicarse con el KDC (vea el diagrama que se muestra más abajo).
En resumen, el KDC, y por tanto el Domain Controller en el que reside, se ahorran una transacción, que reduce su carga y lo hacen más escalable. Desde luego, Kerberos existe desde hace un par de años y está en uso en el mundo de Unix. Consciente de esto, Microsoft aprovecha su naturaleza basada en estándares para permitir que los usuarios de Kerberos que no emplean Windows sean autorizados en el Active Directory, lo cual facilita el avance de Windows 2000 en los dominios de Unix. Asimismo, se agregaron extensiones al Kerberos para permitir el uso de claves públicas mediante certificados digitales X.509, que a su vez sentarán las bases para usar tarjetas inteligentes destinadas a la identificación.
Los certificados digitales tienen implicaciones más significativas para la conexión de usuarios externos, como socios de negocios o clientes, por medio de redes virtuales privadas (VPN). Con el uso de certificados y estándares evolutivos como IPSec (IP Security Protocol; una versión segura y codificada de IP), Windows 2000 permite que los usuarios localizados fuera de su LAN se identifiquen en el Active Directory mediante los certificados. Así, podrá transmitir infomación segura codificada por redes públicas, como Internet. Si no está preparado para cambiar a los certificados, Microsoft es pragmático respecto a ofrecer tecnologías VPN alternativas. De hecho, si por el momento utiliza PPTP (Point-to-Point Tunneling Protocol) para conectar usuarios a la red, puede seguir haciéndolo o convertir a IPSec o Layer 2 Tunneling Protocol (L2TP), ambos nativos en Windows 2000.
Para aumentar la facilidad de uso de la VPN y el acceso remoto en las instalaciones más grandes, Microsoft integró el paquete de administración Connection Manager, que se introdujo en Windows NT Option Pack. Al adoptar una estrategia de identificación basada en los estándar, diversas opciones de la tecnología VPN y con las mejoras a las interfaces de los administradores, sin duda Microsoft hará callar a algunos de sus críticos.
