El Protocolo Ligero de Acceso a Directorios (LDAP) es utilizado por los clientes de directorios para acceder a los datos almacenados en los servidores de directorios. Los clientes y las aplicaciones se autentican con Windows Active Directory (AD) mediante operaciones de enlace LDAP.
Hay diferentes tipos de operaciones de enlace LDAP:
∙ Un simple enlace LDAP en el que las credenciales se transfieren a través de la red en texto claro, lo que no es seguro.
∙ Un enlace LDAP de capa de seguridad y autenticación simple (SASL) sin firmar, que no requiere firma y no es seguro.
∙ Un enlace LDAP SASL firmado, que requiere firma y es seguro.
∙ LDAP sobre capa de sockets seguros/seguridad de la capa de transporte, también conocido como enlace LDAPS, que es cifrado y seguro.
Los controladores de dominio (DC) son vulnerables porque permiten que los clientes LDAP se comuniquen con ellos a través de enlaces LDAP simples y enlaces LDAP SASL que no requieren firma. Mientras que los enlaces LDAP simples permiten que las credenciales de cuentas privilegiadas —tales como las de administradores de dominio— atraviesen la red en texto claro, los enlaces LDAP SASL sin firmar permiten que cualquier persona con intenciones maliciosas capture paquetes entre el cliente y el controlador de dominio, cambie los paquetes y luego los reenvíe. Ambas situaciones pueden tener consecuencias catastróficas. Hay una alta probabilidad de que los DC en su entorno estén permitiendo enlaces LDAP inseguros en este mismo momento.
Cómo detectar enlaces LDAP no seguros
El primer paso para mitigar esta vulnerabilidad es identificar si está afectado. Esto lo puede hacer consultando el ID de evento 2887.
El evento 2887 se registra de manera predeterminada en el controlador de dominio una vez cada 24 horas, y muestra el número de enlaces de texto claro y sin firmar al DC. Cualquier número mayor que cero indica que su DC está permitiendo enlaces LDAP no seguros.
A continuación, debe detectar todos los dispositivos y aplicaciones que utilicen enlaces no seguros consultando el ID de evento 2889.
El evento 2889 se registra en el controlador de dominio cada vez que un equipo cliente intenta un enlace LDAP sin firmar. Muestra la dirección IP y el nombre de cuenta del equipo que intentó autenticarse a través de un enlace LDAP sin firmar.
Nota: este evento no se registra de manera predeterminada y requiere que se activen los diagnósticos apropiados.
Cómo ADAudit Plus ayuda a agilizar la detección
El uso de scripts PowerShell para analizar y extraer datos relevantes de los eventos 2887 y 2889 registrados requiere experiencia y tiempo. ADAudit Plus recopila estos eventos de todos los DC de su dominio y proporciona informes que identifican los dispositivos y aplicaciones que utilizan enlaces LDAP no seguros. Los detalles de los informes incluyen direcciones IP, puertos, nombres de usuario y el tipo de enlace. Además, puede configurar ADAudit Plus para que le avise por correo electrónico y SMS cuando se produzca un intento de autenticación mediante un enlace no seguro.
La capacidad de identificar si sus DC están permitiendo enlaces inseguros y detectar dispositivos y aplicaciones que son vulnerables debido a esto está a solo unos clics de distancia.
Nota: una vez haya detectado todos los dispositivos y aplicaciones que utilizan enlaces LDAP no seguros con ADAudit Plus, asegúrese de trabajar para remediar estos enlaces aplicando la firma LDAP y el enlace de canal LDAP. Esto hace que LDAPS sea más seguro.
Acerca de ManageEngine ADAudit Plus
ADAudit Plus es una solución de seguridad y cumplimiento en tiempo real para Active Directory, servidores de archivos, Windows Server y estaciones de trabajo.