UNIVERSIDAD CATÓLICA DE CUENCA
UNIDAD ACADÉMICA DE INGENIERÍA DE SISTEMAS,
ELÉCTRICA Y ELECTRÓNICA
CARRERA DE INGENIERÍA DE SITEMAS
ACCESO A DATOS SEGUROS EN APLICACIONES ASP.NET
TRABAJO DE INVESTIGACIÓN PREVIA A LA OBTENCIÓN DEL TÍTULO DE
INGENIERO DE SISTEMAS
DIEGO LEONARDO LOJA MOLINA
[email protected]
Director: Ing. Jorge Ochoa
2014
DECLARACIÓN
Yo, Diego Leonardo Loja Molina, declaro bajo juramento que el trabajo aquí descrito es de
mi autoría; que no ha sido previamente presentada para ningún grado o calificación
profesional; y, que he consultado las referencias bibliográficas que se incluyen en este
documento.
La Universidad Católica de Cuenca puede hacer uso de los derechos correspondientes a este
trabajo, según lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y la
normatividad institucional vigente.
Diego Leonardo Loja Molina
CERTIFICACIÓN
Certifico que el presente trabajo fue desarrollado por Diego Leonardo Loja Molina, bajo mi
supervisión.
Ing. Jorge Ochoa.
DIRECTOR
AGRADECIMIENTOS
En primer lugar a Dios por haberme guiado por el camino de la
felicidad hasta ahora; en segundo lugar a cada uno de los que
son parte de mi familiaa mi PADRE Mario Loja, mi MADRE
Margarita Molina, a mis hermanos; por siempre haberme dado
su fuerza y apoyo incondicional que me han ayudado y llevado
hasta donde estoy ahora. Por último y no menos importante a
mi amigo y compañero de trabajo, Ing. Julio Baculima por
ofrecer su ayuda desiteresada durante el inico de mi vida
profesional y a lo largo de la misma, a mis amigos, todos
aquellos quienes de una manera me brindaron su apoyo y
palabras de aliento, y a mi director de tesis quién me ayudó en
todo momento, Ing. Jorge Ochoa.
Diego Leonardo Loja Molina
DEDICATORIA
La concepción de este proyecto está dedicada a mis
padres, pilares fundamentales en mi vida. Sin ellos, jamás
hubiese podido conseguir lo que hasta ahora. Su tenacidad
y lucha insaciable han hecho de ellos el gran ejemplo a
seguir y destacar, no solo para mí, sino para mis hermanos
y familia en general. También dedico este proyecto a mi
esposa, Mi Titty, compañera inseparable de cada jornada.
Ella representó gran esfuerzo y tesón en momentos de
decline y cansancio. A ellos este proyecto, que sin ellos, no
hubiese podido ser.
Diego Leonardo Loja Molina
ÍNDICE DE CONTENIDO
DECLARACIÓN ……………………………………………………………..………………...………….………………………………… i
CERTIFICACIÓN ……………………………………………………………..………………...………….…………….……..………… ii
AGRADECIMIENTOS……………………………………………………………..………………...………….………….…………… iii
DEDICATORIA ……………………………………………………………..………………...………….………………………..……… iv
ÍNDICE DE CONTENIDOS ………………………………………………………….…………...………….………………………… v
LISTA DE FIGURAS ……………………………………………………………..………………...………….………………………… vi
LISTA DE TABLAS …………………………….………………………………………………………..…..………………...………… vii
LISTA DE ANEXOS ………………………………………………………………………….….……..…………………..…………… viii
RESUMEN …………………………….……………….……………………………………………………………………….…………… ix
ABSTRACT …………………………….……………….………………………………………………………………………....………… x
CAPÍTULO 1. SEGURIDAD ASP.NET............................................................1
1
CONCEPTO Y GENERALIDADES DE ASP.NET..........................................1
1.1
ARQUITECTURA DE SEGURIDAD ASP.NET..............................................2
1.2
PUNTOS DE AUTORIZACIÓN........................................................................3
1.2.1
IIS........................................................................................................................3
1.2.1.1
1.2.1.2
ASP.NET.............................................................................................................4
1.2.1.2.1 UrlAuthorizationModule.....................................................................................4
1.2.1.2.2 FileAuthorizationModule ...................................................................................4
MECANISMOS DE SEGURIDAD....................................................................4
1.3
1.3.1
AUTENTICACIÓN ASP.NET ..........................................................................4
Autenticaciónde Windows .................................................................................5
1.3.1.1
AutenticaciónMediante Formularios ..................................................................6
1.3.1.2
1.3.1.3
Autenticación de Passport...................................................................................6
1.3.1.4
1.3.2
1.3.2.1
1.3.2.2
1.4
1.4.1
1.4.1.1
1.4.1.2
1.4.1.3
1.4.1.4
1.4.2
1.4.2.1
1.5
1.5.1
1.5.2
1.5.3
1.6
1.6.1
1.6.2
2
2.1
2.1.1
2.1.2
2.1.3
2.2
2.2.1
2.2.1.1
2.2.1.2
2.2.1.3
2.2.2
2.3
AutenticaciónNone .............................................................................................7
AUTORIZACIÓN ASP.NET .............................................................................7
Autorización de archivos ....................................................................................7
Autorización de URL .........................................................................................7
CONFIGURAR Y PROGRAMAR LA SEGURIDAD......................................9
CONFIGURAR LA SEGURIDAD ...................................................................9
Configurar IIS.....................................................................................................9
Configurar ASP.NET........................................................................................10
Proteger Recursos..............................................................................................11
Proteger Comunicación.....................................................................................12
PROGRAMAR LA SEGURIDAD...................................................................12
Autorización mediante direcciones URL..........................................................12
ACCESO A RECURSOS DEL SISTEMA Y DE RED....................................13
OBTENER ACCESO AL REGISTRO DE EVENTOS ..................................13
OBTENER ACCESO AL REGISTRO.............................................................14
ACCESO A RECURSOS DE RED..................................................................14
CRIPTOGRAFÍA (TÉCNICA DE CIFRADO Y DESCIFRADO).................16
TIPOS DE SISTEMA DE SEGURIDAD.........................................................16
SEGURIDAD DE LOS SISTEMAS SIMÉTRICOS........................................18
CAPÍTULO 2. SEGURIDAD DE ACCESO A DATOS.................................19
INTRODUCCIÓN A LA SEGURIDAD DE ACCESO A ADATOS.............19
SEGURIDAD...................................................................................................19
PROBLEMAS DE SEGURIDAD....................................................................20
EQUIPOS SELECTORES................................................................................20
AUTENTICACIÓN Y AUTORIZACIÓN.......................................................20
AUTENTICACIÓN..........................................................................................21
Tipos de Autenticación.....................................................................................21
Cadenas de conexión.........................................................................................22
Credenciales a través de la red..........................................................................22
AUTORIZACIÓN.............................................................................................23
CIFRAR CONEXIONES A SQL SERVER ....................................................24
SEGURIDAD DEL PROTOCOLO INTERNET (IPSEC)...............................24
2.3.1
SECURE SOCKETS LAYERS (SSL)..............................................................25
2.3.2
CONECTAR CON PRIVILEGIOS MÍNIMOS................................................26
2.4
LA BASE DE DATOS CONFÍA EN DISTINTAS FUNCIONES...................27
2.4.1
ALMACENAR CADENAS DE CONEXIÓN A BD DE FORMA
2.5
SEGURA..............................................................................................................................27
2.5.1
CIFRADAS CON DPAPI.................................................................................28
WEB.CONFIG Y MACHINE.CONFIG ..........................................................28
2.5.2
ARCHIVOS UDL.............................................................................................29
2.5.3
2.5.4
ARCHIVOS DE TEXTO PERSONALIZADO................................................30
REGISTRO.......................................................................................................30
2.5.5
CATÁLOGOS DE COM+................................................................................30
2.5.6
2.6
AUTENTICAR USUARIOS EN UNA BASE DE DATOS.............................31
2.6.1
CONTRASEÑAS
ALMACENAR
UNIDIRECCIONALES (CON SALT)................................................................................31
Crear un valor Salt.............................................................................................32
2.6.1.1
Crear una valor hash (con una valor salt)..........................................................32
2.6.1.2
2.7
ATAQUES DE INYECCIÓN SQL...................................................................32
AUTONOMÍA DE UN ATAQUE DE INYECCIÓN DE CADENA SQL......33
2.7.1
2.7.2
PROCEDIMIENTOS ALMACENADOS..................................................
Comentarios de: Acceso a Datos Seguro en aplicaciones ASP.NET (0)
No hay comentarios