May 13, 2020

Los clientes de directorio utilizan el Protocolo ligero de acceso a directorios (LDAP) para acceder a los datos que tienen los servidores de directorios. Los clientes y las aplicaciones se autentican con Windows Active Directory (AD) mediante operaciones de enlace LDAP.

Existen diferentes tipos de operaciones de enlace LDAP, que incluyen:

  • Enlace LDAP simple , en el que las credenciales se transfieren a través de la red en texto sin cifrar y no es seguro.
  • Enlace LDAP de capa de seguridad y autenticación simple sin firmar (SASL) , que no requiere firma y no es seguro.
  • Enlace SASL LDAP firmado , que requiere firma y es seguro.
  • LDAP sobre Secure Sockets Layer / Transport Layer Security, también conocido como  enlace LDAPS , que está encriptado y es seguro.


Los controladores de dominio (DC) son vulnerables porque permiten que los clientes LDAP se comuniquen con ellos mediante enlaces LDAP simples y enlaces LDAP SASL que no requieren firma. Mientras que los enlaces LDAP simples permiten que las credenciales de cuentas privilegiadas, como los administradores de dominio, atraviesen la red en texto sin formato, los enlaces LDAP SASL sin firmar permiten a cualquier persona con intención maliciosa capturar paquetes entre el cliente y el DC, cambiar los paquetes y luego reenviarlos . Ambos escenarios pueden tener consecuencias catastróficas. Existe una alta probabilidad de que los DC en su entorno permitan enlaces LDAP no seguros en este mismo momento.

Cómo detectar enlaces LDAP no seguros


El primer paso para mitigar esta vulnerabilidad es identificar si está afectado, lo que puede hacer al revisar el ID de evento 2887.

El evento 2887 se registra de forma predeterminada en el DC una vez cada 24 horas, y muestra el número de enlaces de texto sin firmar y sin cifrar al DC. Cualquier número mayor que cero indica que su DC está permitiendo enlaces LDAP no seguros.

A continuación, debe detectar todos los dispositivos y aplicaciones utilizando enlaces no seguros mediante el ID de evento 2889.

El evento 2889 se registra en el DC cada vez que una computadora cliente intenta un enlace LDAP sin firmar. Muestra la dirección IP y el nombre de la cuenta de la computadora que intentó autenticarse a través de un enlace LDAP sin firmar.

Nota: Este evento no se registra de manera predeterminada y requiere  que se habiliten los diagnósticos adecuados .

Cómo ADAudit Plus ayuda a acelerar la detección


El uso de scripts de PowerShell para analizar y extraer datos relevantes de los eventos 2887 y 2889 registrados exige experiencia y tiempo. ADAudit Plus recopila estos eventos de todos los DC en su dominio y proporciona informes que señalan los dispositivos y aplicaciones que usan enlaces LDAP no seguros. Los detalles en los informes incluyen direcciones IP, puertos, nombres de usuario y el tipo de enlace. Además, también puede configurar ADAudit Plus para que le avise por correo electrónico y SMS cuando intente autenticarse mediante un enlace no seguro.
Identificar si sus DC permiten enlaces no seguros y detectar dispositivos y aplicaciones que son vulnerables debido a esto, está a solo unos clics de distancia.

Nota: Una vez que haya detectado todos los dispositivos y aplicaciones que utilizan enlaces LDAP no seguros con ADAudit Plus, asegúrese de trabajar para remediar estos enlaces al  aplicar la firma LDAP y el enlace de canales LDAP (hace que LDAPS sea más seguro) .

Acerca de ManageEngine ADAudit Plus


ADAudit Plus es una solución de cumplimiento y seguridad de Active Directory, servidor de archivos, servidor de Windows y estación de trabajo en tiempo real.



Acerca del autor:

Mahidhar Adarsh
Especialista senior en mercadeo de productos



TAGS

Compartir


ITIL4 qué significa para mi y para mi organización

ManageEngine OpManager - Configuración básica

ManageEngine ServiceDesk Plus - Configuración general

ARTICULOS RELACIONADOS