miércoles, 29 de noviembre de 2017

¿Qué es Active Directory y por qué debemos preocuparnos de su seguridad? [Parte I]

Active Directorio es un rol de Windows Server que se integra con DNS y que permite crear y soportar una gran cantidad de objetos, dispone de características de seguridad de Windows Server 2008, es extensible, multiusuario, flexible y sigue el protocolo LDAP. AD lograr segmentar la estructura lógica de la física de una organización, y para eso, se deberán definir una serie de relaciones de confianza entre los dominios de un bosque, y que cada bosque contiene un grupo de árboles, formados por un grupo de dominios y con una serie de usuarios.


Directorio Activo y DNS

Ambos utilizan nombres de dominio, por lo que cualquier objeto de Active Directory [AD] es a su vez nodo de DNS, ya que todos los dominios de Windows Server se identifican unívocamente por un nombre de dominio DNS. No obstante, podría ser sencillo confundir AD con DNS ya que ambos comparten el mismo nombre de dominio, pero el truco para diferenciarlos es en ver la información que almacenan. Mientras DNS almacena zonas y registros de recursos, AD almacena dominios y objetos de dominio.

AD utiliza DNS para tres funciones principales:

  1. Resolución de nombres. DNS permite resolver nombres de dominio de los hosts en direcciones IP.
  2. Definición del espacio de nombres. Utiliza los convencionalismos de nomenclatura DNS para asignarle nombres a los dominios.
  3. Búsqueda de componentes de AD. Usado para iniciar sesión y utilizar los recursos de AD. 

Los estándares que se relacionan con AD son

  • DNS. Permite la conversión de nombres de dominio en direcciones IP
  • DHCP. Permite la configuración automática de la configuración TCP/IP de la red.
  • SNTP. Permite la sincronización de tiempo entre equipos coectados por red.
  • Kerberos V5. Usado para la autenticación de usuarios.
  • LDAP. Protocolo que permite a las aplicaciones acceder para leer o modificar a la BD del directorio.
  • Certificados x509. Permite el envío seguro de información por la red.
Y es que como se ha dicho, AD garantiza la división, la segmentación de la estructura lógica por un lado, y la física por otro.

La estructura lógica se encarga de la administración de los recursos de la organización, independientemente de su ubicación física. Utiliza el concepto de dominio y de forma interna almacena información de los recursos de dicho dominio.

Por otro lado, la estructura física se encargar de la administración del tráfico de red y se compone de sitios y de controladores de dominio. La estructura física no deja de ser la topología de la subred de la organización.

Pero el hecho de utilizar el concepto de dominio en la estructura lógica, debe tener algún objetivo claro. Así pues, para ver si de verdad es necesario el uso de dominios, se definen que los objetivos del uso de dominios en AD es para.

  • Delimitar la seguridad.  Las directivas de seguridad, los derechos administrativos y las ACLs no se comparten por defecto entre dominio. Cada dominio dispone de sus configuraciones de seguridad de manera independiente. 
  • Replicar la información. La información de los objetos se almacenan en 4 posibles particiones más una quinta de sólo lectura. Estas particiones constituye una unidad de replicación y que mantiene una copia idéntica de la partición mediante replicación multimaestro; así pues cualquier AD admitirá cambios en la información de su partición.
  • Aplicar Directivas de grupo. El uso de directivas de grupo, garantiza una serie de comportamientos de los equipos y grupos de un dominio. Se podrían aplicar una directiva de grupo a cada unidad organizativa de un dominio del bosque y disponer así de una estructura lógica aún más segmentada, reduciendo posibles cuellos de botella y problemas en general.
  • Delegar permisos administrativos. El poder delegar permisos administrativos a usuarios o grupos dentro de AD, permite reducir la necesidad de disponer múltiples administradores con amplios permisos, controlando así mejor, quién puede modificar objetos y tener un mayor control ante posibles fallos.
Por supuesto, esto sería en caso de disponer de un sólo dominio, pero es que sería exactamente igual con múltiples dominios, ya que los múltiples dominios formarían un árbol dentro de un bosque, compartiendo un espacio de nombres contiguo, vinculado con relaciones de confianza transitiva y bidireccional. Así pues tendremos que pasar a la definición de qué es un árbol y qué un bosque.

Un árbol es un conjunto de dominios que comparten un espacio de nombre contiguo con relaciones de confianza transitiva y bidireccional. Por otro lado, un bosque es un conjunto de árboles que no comparten un espacio de nombres contiguo y que se vinculan mediante relaciones de confianza transitiva y bidireccional también.

¿Cómo pueden ser las relaciones de confianza?

  • Raíz de árbol. Se crea de forma automática entre los dominios raíz del mismo bosque. Relación de confianza bidireccional y transitiva.
  • Principal secundaria. Se crea de forma automática entre los dominios y sus subdominios. Relación bidireccional y transitiva.
  • De acceso directo. Esta ya se empieza a crear de forma manual con el objetivo de mejorar la eficiencia de los inicios de sesión remotos. Relación transitiva y unidireccional.
  • Externa. Se establece de forma manual y que permite a los dominios de Windows 2003 acceder a los recursos ubicados en Windows NT4. Relación intransitiva y unidireccional.
  • De bosque. Se establece de forma manual entre los dominios raízdos bosques distintos permitiendo a cualquier usuario de Windows 2003 acceder a los recursos de Windows NT4. Relación intransitiva y unidireccional. 
  • De territorio. Se establece de forma manual entre Windows Server 2008 R2 y un territorio Kerberos que no sea Windows permitiendo la interoperabilidad entre ambos. Unidireccional y transitiva o no.
¿Dónde se guardaría toda esta información?

  • Partición del directorio de esquema. Almacena la definición de todos los objetos y atributos que pueden ser creados en AD. Los datos del esquema se replicarán a todos los dominios del bosque.
  • Partición del directorio de configuración. Contiene la estructura de los dominios y la topología de la replicación. Cualquier DC podrá modificar esta partición ya que los datos se replican a todos los dominios del bosque.
  • Partición del directorio de dominio. Contiene todos los objetos del directorio para este dominio. Estos datos se replican a todos los controladores de ese dominio, pero no a todos.
  • Partición del directorio de aplicaciones. Contiene datos específicos de aplicación. Estos datos pueden ser de cualquier tipo excepto principales de seguridad.
Existe además una quinta partición, que es el catálogo global, una partición de sólo lectura y que almacena toda la información sobre los objetos del dominio. Esta información se publica para que todos los usuarios y administradores puedan utilizarla y los controladores de dominio replicarán los datos de este almacén de forma multimaestro. Todos los controladores de dominio tienen la misma base de datos.

Además, el catálogo global contiene de una copia completa de los objetos de su dominio y una copia parcial de todos los objetos de los directorios de otros dominios del bosque. Dispone de las siguientes funciones:

  1. Realizar búsquedas de información de un dominio, árbol o bosque, con independencia de la ubicación de los datos.
  2. Resuelve los nombres principales de usuarios [UPN] de otros dominios para que se puedan autenticar en el dominio.
  3. La información sobre los grupos universales se almacena sólo en el CG, por lo que cuando un usuario quiere iniciar sesión, el CG decidirá si le da o no la pertenencia a los grupos universales.
  4. Permite validar las referencias a objetos de otros dominios del bosque, informando si son o no correctas.
Hasta aquí puedo leer en esta primera parte donde se comenta brevemente lo que es AD DS para que en las futuras entradas, podamos filosofar sobre la seguridad en el Directorio Activo una vez que hemos entendido un poco la teoría.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...