Hola, hace algún tiempo este tema me está dando vueltas, así que lo
quiero comentar a los amigos de la lista.
En muchos lugares, se está implementando en squid el método de
autenticación Digest, en detrimento del Basic por cuestiones de
seguridad, sin tener en cuenta la incompatipilidad de este mecanismo de
autenticación para/con muchísimas aplicaciones (tanto en linux como en
windows), por lo que, como ocurre muchas veces, se están afectando los
procesos productivos (o se podrían afectar en un futuro), cosa que NUNCA
debería pasar teniendo en cuenta que siempre hay alternativas aunque
cueste un poco mas de trabajo implementarlas.
Estas son mis impresiones (un poco lo que he investigado) con los
métodos de autenticación que conozco (si hay algún error, por favor
corregirlo):
Basic: Es un mecanismo de autenticación rápido, fácil de configurar,
pero inseguro, esto radica en que las credenciales viajan codificadas en
base64, lo que permite capturar los paquetes de la red, decodificarlos y
obtener los pares nombre de usuario y contraseña. Puede ser utilizado a
través de ssl, lo que le añade una capa de seguridad extra (con lo que
se considera seguro), aunque lo hace mas lento y difícil de configurar.
Digest: Es considerado un poco mas seguro que el Basic, el mecanismo de
autenticación consta de 4 pasos por lo que es considerablemente mas
lento que el Basic y muy pocas aplicaciones tienen implementaciones
funcionales, por ejemplo Endnote en windows o npm (de nodeJs en linux).
No obstante su fortaleza sobre el método Basic, es considerado como
inseguro por varia razones, y puede ser objeto de varios tipos de
ataque, por lo que es poco utilizado.
NTLM: Método propietario, pero con implementaciones libres, se considera
mas seguro que los anteriores (aunque tiene sus fallas) y existen muchas
aplicaciones que lo soportan, además hay ampliamente difundidas
aplicaciones como cntlm, que permiten a otras aplicaciones que no lo
soportan funcionar, al parecer su configuración es mas complicada, ya
que requiere de un PDC con Samba.
Entonces, ¿que impide en lugar de configurar Squid con el método Digest
(extremadamente incompatible con muchas aplicaciones, inseguro y poco
utilizado a nivel mundial), utilizar Basic con ssl (teniendo en cuenta
que Digest es casi igual de lento), o NTLM (teniendo en cuenta que en la
mayoría de los lugares se configura un PDC con samba) y así no
entorpecer los procesos productivos, inutilizando aplicaciones que se
usaban, o se podrían usar en un futuro?
Saludos.
--
Este mensaje le ha llegado mediante el servicio de correo electronico que
ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema
Nacional de Salud. La persona que envia este correo asume el compromiso de usar
el servicio a tales fines y cumplir con las regulaciones establecidas
Infomed: http://www.sld.cu/
--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
