Internet es un factor primordial en la comunicación y también un evidente riesgo potencial de acceso y mal uso de los servicios e información disponibles, tal es su crecimiento, que ha impactado directamente en la seguridad de los sitios y de la información que se maneja en estos, la mayoría de ellos con información sensible que resulta ser muy importante. Para el caso de este taller, ASP.NET funciona junto con Microsoft .NET Framework e Internet Information Services (IIS) para ayudar a proporcionar aplicaciones Web seguras, estas aplicaciones Web ofrecen a los usuarios acceso a un recurso centralizado, el servidor Web, y, a través de él, acceso a servidores de bases de datos, también proporcionan dos de las funciones de seguridad fundamentales para los sitios Web, la Autenticación y la Autorización

La autenticación es el proceso de obtener las credenciales de identificación de un usuario, como un nombre y una contraseña, y validar esas credenciales consultando a alguna autoridad, como una base de datos. Si las credenciales son válidas, la entidad que las ha presentado se considera una identidad autenticada

ASP.NET implementa la autenticación mediante métodos de autenticación. Los métodos de autenticación de ASP.NET contienen el código necesario para autenticar las credenciales del usuario. Después de que una identidad haya sido autenticada, el proceso de autorización determina si esa identidad tiene acceso a un recurso específico, por ejemplo, se puede permitir o denegar de forma selectiva el acceso a las partes arbitrarias de una aplicación.

La mayoría de las aplicaciones web son usadas como un conducto entre fuentes de información y el usuario, esto es, las aplicaciones web son usadas para interactuar con una base de datos, de tal forma que es de suma importancia proteger diferentes aspectos del acceso a datos tales como:

  • Proteger las cadenas de conexión almacenándolas en archivos de configuración además de cifrar la información de estas.
  • Conectar a Sql Server utilizando la seguridad integrada para no exponer el identificador del usuario y la contraseña.
  • Permisos de la base de datos Sql Server asignando los privilegios mínimos al identificador de usuario que se utiliza para la conexión a las bases de datos de SQL Server usadas en la aplicación
  • Permisos de la base de datos Sql Server asignando los privilegios mínimos al identificador de usuario que se utiliza para la conexión a las bases de datos de SQL Server usadas en la aplicación.

El presente taller tiene por objetivo entender los aspectos principales de la seguridad de un sitio Web. Para ello se ha dividido en cuatro bloques. La primera parte del taller consiste en el diseño básico del sitio Web, en la segunda parte se configurará el módulo de autenticación de los usuarios del sitio, se continuará con el acceso a páginas seguras por medio de la autorización y por último la configuración de los permisos necesarios para el acceso a la base de datos.



    Temario

  • 1. Diseño del sitio Web y su funcionalidad (2 hrs. 30 min.)
  • 2. Usuarios y roles del sitio y configuración de la autenticación formularios (30 min.)
  • 3. Configurar el acceso a páginas seguras, denegar el acceso a ciertas páginas del sitio (30 min.)
  • 4. Cifrado de la cadena de conexión y permisos de acceso a la base de datos (30 min.)

    Requerimientos

  • 1. PC con Windows 10 professional, 64 bits
  • 2 cañón
  • 3. Software: Visual Studio 2013 professional
  • 4. Software: Servidor Web IIS (Internet Information Services)
  • 5. Software: SQL Server 2014 professional
  • 6. Conexión a Internet