Tipos de autenticación de proxy

Los servidores proxy enrutan el tráfico de Internet por varias razones. Puede utilizar un servidor proxy para ocultar su dirección de Protocolo de Internet mientras navega, ya que la dirección IP de un servidor proxy sustituirá a la suya. Otras veces, sin embargo, las redes de área local utilizan servidores proxy para controlar el tráfico dentro y fuera de una red. En estos casos, normalmente se requiere autenticación. Esta autenticación puede provenir de contraseñas simples o conjuntos de autenticación más completos, como NT LAN Manager o Kerberos.

Transparente

Si bien no es, estrictamente hablando, un tipo de autenticación, el estado de no autenticación en los servidores proxy tiene una clase particular, denominada proxy "transparente". Este tipo de proxy no requiere necesariamente la autenticación de un usuario, sino que obliga a determinados usuarios a ingresar a determinadas redes en función de sus identidades y, como tal, suele implicar algún tipo de autenticación. Por lo general, esto funciona mediante la verificación de los usuarios en función de la dirección IP.

Basado en contraseña

Una forma simple de autenticación de proxy es la autenticación de contraseña simple. Para utilizar el servidor proxy, debe proporcionar un nombre de usuario y una contraseña. Esta medida puede mantener alejados a los usuarios no deseados. Sin embargo, la autenticación de contraseñas adolece de algunos inconvenientes, a saber, que las contraseñas suelen ser fáciles de romper y solo ofrecen un único nivel de seguridad. Por lo general, debe empaquetar la autenticación de contraseña con otra medida de autenticación para la autenticación de dos pasos.

Desafío / respuesta de Windows

Microsoft NTLM implica la autenticación de contraseña junto con un algoritmo de desafío / respuesta. Después de iniciar sesión en el servidor NTLM, el servidor envía un paquete de datos basado en la contraseña y el nombre de usuario utilizados, así como en el dominio del servidor. Su aplicación cliente debe cifrar los datos y enviarlos de vuelta al servidor. Si el servidor puede descifrarlo usando su clave, entonces su computadora ha sido autenticada para usar ese proxy.

Kerberos

Kerberos, desarrollado en MIT, funciona de manera similar a NTLM. Cuando su aplicación cliente intenta utilizar un proxy Kerberos, envía un ticket al servidor. El servidor utiliza la información del ticket para cifrar un paquete de datos, que envía de vuelta a su aplicación cliente. La aplicación cliente debe descifrar el ticket utilizando una clave de autenticación compartida. Los datos descifrados ahora representan un vale de autorización que le permite a su computadora acceder para usar el servidor Kerberos.