Tipos de autenticación de proxy

Los servidores proxy enrutan el tráfico de Internet por varias razones. Puede usar un servidor proxy para ocultar su dirección de Protocolo de Internet mientras navega, ya que la dirección IP de un servidor proxy sustituirá a la suya. Sin embargo, otras veces, las redes de área local utilizan servidores proxy para controlar el tráfico de entrada y salida de una red. En estos casos, normalmente se requiere autenticación. Esta autenticación puede realizarse mediante contraseñas simples o conjuntos de autenticación más completos, como NT LAN Manager o Kerberos.

Transparente

Si bien, estrictamente hablando, no es un tipo de autenticación, el estado de no autenticación en los servidores proxy tiene una clase particular, denominada proxy "transparente". Este tipo de proxy no requiere necesariamente una autenticación de usuario, pero obliga a usuarios particulares a redes particulares en función de sus identidades y, como tal, generalmente implica algún tipo de autenticación. Esto generalmente funciona mediante la verificación de usuarios en función de la dirección IP.

Basado en contraseña

Una forma simple de autenticación de proxy es la autenticación de contraseña simple. Para utilizar el servidor proxy, debe proporcionar un nombre de usuario y una contraseña. Esta medida puede mantener alejados a los usuarios no deseados. Sin embargo, la autenticación con contraseña adolece de algunos inconvenientes, a saber, que las contraseñas a menudo son fáciles de descifrar y solo ofrecen un único nivel de seguridad. Por lo general, debe empaquetar la autenticación de contraseña con otra medida de autenticación para la autenticación en dos pasos.

Desafío/Respuesta de Windows

Microsoft NTLM implica la autenticación de contraseña junto con un algoritmo de desafío/respuesta. Después de iniciar sesión en el servidor NTLM, el servidor envía un paquete de datos basado en la contraseña y el nombre de usuario utilizados, así como en el dominio del servidor. Su aplicación cliente debe cifrar los datos y devolverlos al servidor. Si el servidor puede descifrarlo usando su clave, entonces su computadora ha sido autenticada para usar ese proxy.

Kerberos

Kerberos, desarrollado en el MIT, funciona de manera similar a NTLM. Cuando su aplicación cliente intenta usar un proxy Kerberos, presenta un ticket con el servidor. El servidor utiliza la información del ticket para cifrar un paquete de datos, que envía de vuelta a su aplicación cliente. La aplicación cliente debe descifrar el ticket utilizando una clave de autenticación compartida. Los datos descifrados ahora representan un ticket de autorización que le permite a su computadora acceder para usar el servidor Kerberos.

Referencias

• El proyecto de documentación de Linux: descripción general del proxy transparente
• Microsoft: NTLM (Windows)
• Instituto de Tecnología de Massachussetts: Kerberos: el protocolo de autenticación de red