Control de accesos Web
Comparativa
Controlar quién entra y sale de los recursos Web de la empresa puede convertirse en una verdadera pesadilla. Para aliviar la tarea, existen hoy en el mercado paquetes de control de accesos Web que, junto a las soluciones de seguridad convencionales, permiten tener a raya a los hackers. De la comparativa realizada por Network World Global Test Alliance con seis productos de este tipo, SecureControl 4.5, de Securant Technologies, resultó el ganador, gracias a sus herramientas de gestión y su estrecha integración con los cortafuegos de Check Point.
En la comparativa de paquetes de control de accesos Web se evaluaron seis productos: getAccess 4.5 de Entrust, NetPoint 4.0 de Oblix, SiteMinder 4.5 de Netegrity, DirectorySmart 4.5 de Open-Network, ClearTrust SecureControl 4.5 de Securant Technologies y Webthority 3.0 de Symantec.
ClearTrust SecureControl se situó en primer lugar, gracias al conjunto de sus características. La solución de Securant Technologies ofrece, entre otras prestaciones, “reglas inteligentes”, que permiten o deniegan el acceso en función de los atributos definidos para cada usuario; una característica de testeo de reglas, que permite seleccionar recursos y cuentas de usuario y verificar permisos de acceso; “acciones de eventos”, que puede provocar tareas específicas cuando se producen determinados sucesos en el sistema; la capacidad de comunicar con un Firewall-1 de Check Point para bloquear una dirección IP de un hacker potencial; y una potente e intuitiva interfaz.
Muy cerca, en segundo lugar se situaron NetPoint y SiteMinder. La utilidad Active Automation de NetPoint, que incorpora procesos de flujo de trabajo para eventos del sistema, le ayudó a destacarse. De SiteMinder destaca su función Active Responses, que se pone en acción cuando se producen ciertos eventos en el sistema. Ambos productos ofrecen, además, una función de test, que puede utilizarse para verificar que las reglas funcionan en el modo previsto. Asimismo, permiten almacenar toda la lógica del programa en Active Directory con las cuentas de usuario, lo que hace posible reducir el volumen de hardware y software requerido.
Los tres productos restantes, aunque con menos prestaciones a escala corporativa, se comportaron bien en las pruebas. DirectorySmart puede auditar eventos del sistema e incluye un menú de características de servicios capaces de crear una página portal personalizada para cada usuario. Webthority, por su parte, es el único producto de los probados que se basa completamente en un enfoque de proxy para tratar los derechos de acceso, lo que hace innecesario realizar cambios de configuración de hardware o software en los servidores de contenidos back-end. GetAcces, finalmente, dispone de una herramienta muy útil que permite generar páginas portal individualizas para cada usuario, algo que ayuda a reducir el número de llamadas de helpdesk por parte de aquellos que intentan acceder a partes controladas del sitio Web. GetAccess, además, soporta accesos inalámbricos, gracias a su componente de servicios móviles.
¿PODER ABSOLUTO O DELEGACION?
Los seis productos evaluados proporcionan una adecuada asistencia a la hora de administrar grandes entornos Web corporativos. Así, para facilitar la gestión de miles de cuentas de usuario los fabricantes de soluciones de control de accesos utilizan el proceso denominado “autoridad delegada”, que simplifica la administración al dejar ciertos derechos en manos de los llamados “subadministradores”. En la jerarquía de autoridad delegada existen dos tipos básicos de administradores: el más potente “superadministrador”, que tiene derechos administrativos sobre el sistema en su totalidad; y el “subadministrador”, con tareas delegadas y derechos administrativos sobre un conjunto específico de cuentas y recursos. Todos los productos probados, salvo Webthority, ofrecían esta prestación.
En lo que respecta a la creación y administración de usuarios, ClearTrust SecureControl fue el más simple y más intuitivo: permitió crear y asignar derechos a usuarios en minutos. Las interfaces de Webthority y getAccess son fáciles de usar, pero no aportan tanta funcionalidad. La interfaz de DirectorySmart posibilita completar con facilidad cambios administrativos en el sistema, pero algunos pasos resultan confusos.
Las utilidades de autorregistro de estos productos permiten a los usuarios crear sus propias cuentas, lo que simplifica la tarea de administración. Los procesos de autorregistros aportados por ClearTrust SecureControl y NetPoint fueron los que menos trabajo dieron a la hora de su despliegue, ya que el resto exige una cierta personalización.
ClearTrust SecureControl, NetPoint y SiteMinder ofrecen, además, una opción de test que permite a un administrador probar la lógica de seguridad creada antes de aplicarla a una cuenta real. Esta característica agiliza la asignación de permisos y la hace menos propicia a la aparición de errores.
La valoración de Oblix tuvo a su favor el soporte de flujo de trabajo en su sistema NetPoint. Esta característica proporciona un mecanismo para mantener alerta a los administradores de los cambios del sistema necesarios. Así, por ejemplo, se puede enviar al administrador un correo electrónico con un enlace a la URL apropiada cuando alguien se autorregistra, notificándole que se han de asignar los permisos necesarios.
Como los sitios Web pueden ser albergados en una localización distinta a aquella donde residen los sistemas TI, la gestión remota que ofrece este tipo de productos resulta vital. Afortunadamente, todos los productos analizados en la comparativa proporcionan algún nivel de gestión remota vía navegador Web. NetPoint, SiteMinder, DirectorySmart, getAccess y Webthority proporcionan una administración remota plena de funcionalidades basada enteramente en HTML. SecureControl, por su parte, ofrece dos métodos de control remoto: se puede instalar el cliente Java o usar la interfaz de usuario gráfica Web, que corre como un applet en el servidor.
CREANDO LOGICA
Obviamente, para que estos productos resulten útiles, es preciso configurarlos apropiadamente, primero en lo que se refiere a las cuentas y recursos de usuario y, después, a la “lógica” del programa, es decir, las reglas del sistema que permitan o denieguen a los usuarios acceder a un recurso Web específico.
NetPoint, DirectorySmart y SiteMinder pueden almacenar lógica del programa directamente en Active Directory. Este método requiere dar algunos pasos más durante el proceso de instalación, ya que obliga a modificar el esquema de Active Directory, para lo que se suministran scripts. Almacenar todo en Active Directory significa que no se precisará una segunda base de datos para albergar las reglas de control de accesos, con la sobrecarga de administración que ello conlleva.
ClearTrust SecureControl requiere el uso de una base de datos Oracle –incluida en el producto– para albergar todas las cuentas de usuario y las reglas del programa. Para aliviar la tarea, Securant ha simplificado las complejidades propias de Oracle, de modo que no resulta necesario saber demasiado sobre la tecnología de esta compañía para instalar y usar ClearTrust SecureControl. En la prueba, también se utilizó una base de datos Oracle con getAccess, ya que su soporte para Active Directory estaba indocumentado cuando se probó el producto. Webthority, por su parte, utiliza una base de datos propietaria para almacenar las reglas de
En la comparativa de paquetes de control de accesos Web se evaluaron seis productos: getAccess 4.5 de Entrust, NetPoint 4.0 de Oblix, SiteMinder 4.5 de Netegrity, DirectorySmart 4.5 de Open-Network, ClearTrust SecureControl 4.5 de Securant Technologies y Webthority 3.0 de Symantec.
ClearTrust SecureControl se situó en primer lugar, gracias al conjunto de sus características. La solución de Securant Technologies ofrece, entre otras prestaciones, “reglas inteligentes”, que permiten o deniegan el acceso en función de los atributos definidos para cada usuario; una característica de testeo de reglas, que permite seleccionar recursos y cuentas de usuario y verificar permisos de acceso; “acciones de eventos”, que puede provocar tareas específicas cuando se producen determinados sucesos en el sistema; la capacidad de comunicar con un Firewall-1 de Check Point para bloquear una dirección IP de un hacker potencial; y una potente e intuitiva interfaz.
Muy cerca, en segundo lugar se situaron NetPoint y SiteMinder. La utilidad Active Automation de NetPoint, que incorpora procesos de flujo de trabajo para eventos del sistema, le ayudó a destacarse. De SiteMinder destaca su función Active Responses, que se pone en acción cuando se producen ciertos eventos en el sistema. Ambos productos ofrecen, además, una función de test, que puede utilizarse para verificar que las reglas funcionan en el modo previsto. Asimismo, permiten almacenar toda la lógica del programa en Active Directory con las cuentas de usuario, lo que hace posible reducir el volumen de hardware y software requerido.
Los tres productos restantes, aunque con menos prestaciones a escala corporativa, se comportaron bien en las pruebas. DirectorySmart puede auditar eventos del sistema e incluye un menú de características de servicios capaces de crear una página portal personalizada para cada usuario. Webthority, por su parte, es el único producto de los probados que se basa completamente en un enfoque de proxy para tratar los derechos de acceso, lo que hace innecesario realizar cambios de configuración de hardware o software en los servidores de contenidos back-end. GetAcces, finalmente, dispone de una herramienta muy útil que permite generar páginas portal individualizas para cada usuario, algo que ayuda a reducir el número de llamadas de helpdesk por parte de aquellos que intentan acceder a partes controladas del sitio Web. GetAccess, además, soporta accesos inalámbricos, gracias a su componente de servicios móviles.
¿PODER ABSOLUTO O DELEGACION?
Los seis productos evaluados proporcionan una adecuada asistencia a la hora de administrar grandes entornos Web corporativos. Así, para facilitar la gestión de miles de cuentas de usuario los fabricantes de soluciones de control de accesos utilizan el proceso denominado “autoridad delegada”, que simplifica la administración al dejar ciertos derechos en manos de los llamados “subadministradores”. En la jerarquía de autoridad delegada existen dos tipos básicos de administradores: el más potente “superadministrador”, que tiene derechos administrativos sobre el sistema en su totalidad; y el “subadministrador”, con tareas delegadas y derechos administrativos sobre un conjunto específico de cuentas y recursos. Todos los productos probados, salvo Webthority, ofrecían esta prestación.
En lo que respecta a la creación y administración de usuarios, ClearTrust SecureControl fue el más simple y más intuitivo: permitió crear y asignar derechos a usuarios en minutos. Las interfaces de Webthority y getAccess son fáciles de usar, pero no aportan tanta funcionalidad. La interfaz de DirectorySmart posibilita completar con facilidad cambios administrativos en el sistema, pero algunos pasos resultan confusos.
Las utilidades de autorregistro de estos productos permiten a los usuarios crear sus propias cuentas, lo que simplifica la tarea de administración. Los procesos de autorregistros aportados por ClearTrust SecureControl y NetPoint fueron los que menos trabajo dieron a la hora de su despliegue, ya que el resto exige una cierta personalización.
ClearTrust SecureControl, NetPoint y SiteMinder ofrecen, además, una opción de test que permite a un administrador probar la lógica de seguridad creada antes de aplicarla a una cuenta real. Esta característica agiliza la asignación de permisos y la hace menos propicia a la aparición de errores.
La valoración de Oblix tuvo a su favor el soporte de flujo de trabajo en su sistema NetPoint. Esta característica proporciona un mecanismo para mantener alerta a los administradores de los cambios del sistema necesarios. Así, por ejemplo, se puede enviar al administrador un correo electrónico con un enlace a la URL apropiada cuando alguien se autorregistra, notificándole que se han de asignar los permisos necesarios.
Como los sitios Web pueden ser albergados en una localización distinta a aquella donde residen los sistemas TI, la gestión remota que ofrece este tipo de productos resulta vital. Afortunadamente, todos los productos analizados en la comparativa proporcionan algún nivel de gestión remota vía navegador Web. NetPoint, SiteMinder, DirectorySmart, getAccess y Webthority proporcionan una administración remota plena de funcionalidades basada enteramente en HTML. SecureControl, por su parte, ofrece dos métodos de control remoto: se puede instalar el cliente Java o usar la interfaz de usuario gráfica Web, que corre como un applet en el servidor.
CREANDO LOGICA
Obviamente, para que estos productos resulten útiles, es preciso configurarlos apropiadamente, primero en lo que se refiere a las cuentas y recursos de usuario y, después, a la “lógica” del programa, es decir, las reglas del sistema que permitan o denieguen a los usuarios acceder a un recurso Web específico.
NetPoint, DirectorySmart y SiteMinder pueden almacenar lógica del programa directamente en Active Directory. Este método requiere dar algunos pasos más durante el proceso de instalación, ya que obliga a modificar el esquema de Active Directory, para lo que se suministran scripts. Almacenar todo en Active Directory significa que no se precisará una segunda base de datos para albergar las reglas de control de accesos, con la sobrecarga de administración que ello conlleva.
ClearTrust SecureControl requiere el uso de una base de datos Oracle –incluida en el producto– para albergar todas las cuentas de usuario y las reglas del programa. Para aliviar la tarea, Securant ha simplificado las complejidades propias de Oracle, de modo que no resulta necesario saber demasiado sobre la tecnología de esta compañía para instalar y usar ClearTrust SecureControl. En la prueba, también se utilizó una base de datos Oracle con getAccess, ya que su soporte para Active Directory estaba indocumentado cuando se probó el producto. Webthority, por su parte, utiliza una base de datos propietaria para almacenar las reglas de
