Delegación Kerberos

  • De nuestro equipo de expertos
Programe una demostración

Delegación Kerberos

  • De nuestro equipo de expertos
Programe una demostración
Haga un recorrido
Índice del Contenido

Demostración

Consulte las Silverfort plataforma en acción

Descubra por qué las principales empresas confían en nosotros para proteger lo que otros no pueden.

Programe una demostración

La delegación de Kerberos permite que un servicio solicite recursos o realice acciones en nombre de un usuario, manteniendo al mismo tiempo los principios de seguridad de autenticación y autorización.

Delegación dentro Kerberos juega un papel fundamental a la hora de facilitar interacciones seguras y fluidas entre servicios en nombre de los usuarios.

Kerberos, piedra angular de las arquitecturas de seguridad de redes modernas, ofrece un marco sólido para autenticar usuarios y servicios en una red no segura. Elimina la necesidad de transmitir contraseñas directamente, en lugar de utilizar tickets criptográficos para demostrar la identidad. Sin embargo, en entornos de TI complejos, con frecuencia surgen situaciones en las que un servicio debe actuar en nombre de un usuario para acceder a otros servicios. Este requisito llevó al desarrollo de la delegación Kerberos.

Esta capacidad es vital en escenarios donde los procesos iniciados por el usuario involucran múltiples niveles de servicios, cada uno de los cuales requiere autenticación. El concepto puede parecer sencillo, pero su implementación y las consideraciones de seguridad que implica son complejas y matizadas. Es esencial que los profesionales de TI y ciberseguridad comprendan los mecanismos, las aplicaciones y los riesgos asociados con la delegación de Kerberos para proteger eficazmente sus entornos.

Cómo funciona la delegación de Kerberos

El protocolo Kerberos se diseñó originalmente para un entorno de red más simple, con el objetivo de autenticar a los usuarios en servicios a los que se podía acceder directamente. La necesidad de que los servicios se comuniquen en nombre de los usuarios se hizo evidente a medida que las infraestructuras de TI evolucionaron hacia arquitecturas más integradas y en capas. Para adaptarse a este cambio, Kerberos desarrolló la delegación, lo que permite interacciones más complejas manteniendo al mismo tiempo garantías de seguridad.

El proceso de delegación en Kerberos implica varios pasos clave:

  1. El usuario se autentica en el Centro de distribución de claves Kerberos (KDC) y recibe un ticket de concesión de tickets (TGT).
  2. Al acceder a un servicio que requiere delegación, el servicio solicita un ticket de servicio del KDC en nombre del usuario, indicando la necesidad de acceder a otro servicio posterior.
  3. El KDC emite un ticket de servicio que el servicio inicial puede utilizar para solicitar acceso al servicio descendente en nombre del usuario.

Este mecanismo garantiza que las credenciales de usuario nunca queden expuestas a los servicios, cumpliendo con los principios de seguridad de Kerberos.

Tipos de delegación Kerberos

Para abordar distintos niveles de necesidades de seguridad y arquitecturas de aplicaciones, se han desarrollado tres tipos diferentes de delegación de Kerberos. Estos tipos (delegación sin restricciones, restringida y restringida basada en recursos) ofrecen diferentes mecanismos para que los servicios actúen en nombre de los usuarios, con controles específicos sobre a qué servicios se puede acceder.

Delegación sin restricciones

Esta es la forma de delegación más permisiva dentro de Kerberos, permitiendo que un servicio solicite acceso a cualquier otro servicio en nombre del usuario. Con delegación sin restricciones, una vez que un usuario se autentica en un servicio, ese servicio puede obtener entradas para cualquier otro servicio para el usuario.

Esta forma de delegación es potente, pero plantea importantes riesgos de seguridad si no se gestiona con cuidado, ya que esencialmente otorga al servicio amplios poderes para actuar en nombre del usuario.

Delegación restringida

Introducida para mitigar los riesgos asociados con la delegación sin restricciones, la delegación restringida limita los servicios a los que un delegado puede solicitar acceso en nombre del usuario. Requiere especificar de antemano qué servicios se permite la delegación, proporcionando un entorno controlado y seguro para que se produzca la delegación.

Esta configuración se basa en la extensión Servicio de usuario a proxy (S4U2Proxy), que permite que un servicio obtenga un ticket para un servicio específico en nombre del usuario, pero solo si ese servicio está permitido explícitamente.

Delegación restringida basada en recursos

Una evolución de la delegación restringida, la delegación restringida basada en recursos mejora aún más la seguridad y la flexibilidad al permitir que el administrador del servicio de destino controle qué servicios pueden delegarle.

El neumático VXNUMX se presentó el Windows Server 2012, este tipo cambia la configuración de delegación del controlador de dominio al recurso mismo. Aprovecha las extensiones Service for User to Self (S4U2Self) y S4U2Proxy para permitir que un servicio solicite acceso en nombre del usuario en función de los permisos definidos a nivel de recursos, no globalmente en todo el dominio.

Cada tipo de delegación aborda preocupaciones de seguridad y necesidades operativas específicas:

  • Delegación sin restricciones es adecuado para entornos altamente confiables donde la facilidad de uso supera el potencial de abuso.
  • Delegación restringida proporciona un enfoque equilibrado, que ofrece flexibilidad y al mismo tiempo limita significativamente el potencial de uso indebido al restringir la delegación a servicios específicos.
  • Delegación restringida basada en recursos ofrece el más alto nivel de control y seguridad, permitiendo a los propietarios de recursos gestionar directamente qué servicios pueden actuar en su nombre, minimizando así el riesgo de delegación no autorizada.

Consideraciones y riesgos de seguridad

Las consideraciones y riesgos de seguridad son primordiales en el complejo mundo de la delegación de Kerberos. Cada tipo de delegación (sin restricciones, restringida y restringida basada en recursos) conlleva vulnerabilidades específicas que podrían explotarse si no se gestionan adecuadamente. Comprender estos riesgos y las medidas para mitigarlos es esencial para mantener la integridad y seguridad de un entorno de TI.

Riesgos de delegación sin restricciones

  • El riesgo más importante de la delegación sin restricciones es la posibilidad de que se comprometa cuenta de servicio ser utilizado para acceder a cualquier otro servicio dentro de la red en nombre de los usuarios. Esto podría llevar a escalada de privilegios y movimiento lateral dentro de la red si los atacantes obtienen el control de dicha cuenta.
  • Las estrategias de mitigación incluyen limitar el uso de la delegación sin restricciones a servicios de alta confianza, utilizar formas de delegación más seguras cuando sea posible y emplear una supervisión y auditoría estrictas para detectar actividades inusuales.

Riesgos de delegación restringida

  • Si bien la delegación restringida limita el alcance de los servicios a los que puede acceder una cuenta delegada, las configuraciones incorrectas o los ajustes demasiado permisivos aún pueden presentar oportunidades para los atacantes. Por ejemplo, si a una cuenta de servicio se le permite delegar servicios confidenciales y esa cuenta se ve comprometida, el impacto podría ser sustancial.
  • Mitigar estos riesgos implica revisar periódicamente los servicios permitidos en el atributo msDS-AllowedToDelegateTo y garantizar que solo se permitan los servicios necesarios.

Riesgos de delegación restringida basada en recursos

  • La descentralización de la delegación de autoridad a los propietarios de recursos aumenta la flexibilidad, pero también introduce el riesgo de políticas o configuraciones de seguridad inconsistentes entre diferentes recursos. Si el propietario de un recurso permite inadvertidamente la delegación de un servicio inseguro, podría comprometer el recurso.
  • Para mitigar estos riesgos, las organizaciones deben establecer políticas claras para configurar la delegación restringida basada en recursos, brindar capacitación a los propietarios de recursos y realizar auditorías periódicas para garantizar el cumplimiento de las mejores prácticas de seguridad.

Cómo identificar si se está utilizando Kerberos

Existen algunos métodos que puede utilizar para identificar la presencia de Kerberos:

  1. Verifique los registros del sistema:
    1. En los sistemas Linux, los eventos de autenticación Kerberos normalmente se registran en /var/log/messages o /var/log/syslog.
    2. En los sistemas Windows, normalmente se encuentran en el Visor de eventos, en la categoría "Seguridad".
    3. Busque errores o advertencias relacionadas con Kerberos.
    4. Los mensajes de error comunes incluyen:
      1. “KDC_ERR_SERVER_NOT_FOUND”
      2. "KDC_ERR_CLIENT_NOT_TRUSTED"
      3. "KDC_ERR_INVALID_CREDENTIAL"
      4. “KRB5KDC_ERR_ETYPE_NOSUPP”
      5. “KRB5KDC_ERR_PRAUTH_FAILED”
  2. Busque archivos de configuración de Kerberos:
    1. En los sistemas Linux, los archivos de configuración de Kerberos normalmente se encuentran en /etc/krb5.conf.
    2. En los sistemas Windows, normalmente se encuentran en %WINDIR%\krb5.ini.
    3. Verifique los archivos de configuración en busca de errores o inconsistencias.
    4. Asegúrese de que el dominio Kerberos sea correcto y que los servidores KDC estén listados correctamente.
  3. Consulta el registro:
    1. En los sistemas Windows, la configuración de Kerberos también se almacena en el registro.
    2. La clave de registro relevante es HKLM\SYSTEM\CurrentControlSet\Services\Kdc.
    3. Verifique la clave de registro para detectar errores o inconsistencias.
    4. Asegúrese de que el dominio Kerberos sea correcto y que los servidores KDC estén listados correctamente.
  4. Utilice un rastreador de red:
    1. Se puede utilizar un rastreador de red para capturar el tráfico de autenticación Kerberos.
    2. Esto puede resultar útil para solucionar problemas de Kerberos o para supervisar la actividad de Kerberos.
    3. Busque errores o anomalías en el tráfico de Kerberos.
  5. Utilice una herramienta de prueba de Kerberos:
    1. Hay varias herramientas de prueba de Kerberos disponibles que se pueden utilizar para probar el proceso de configuración y autenticación de Kerberos.
    2. Algunas de estas herramientas incluyen:
      1. kinito
      2. lista de klist
      3. kdcdiag
      4. cliente-de-prueba-krb5
      5. servidor-de-prueba-krb5
    3. Utilice las herramientas de prueba de Kerberos para probar el proceso de configuración y autenticación de Kerberos.
    4. Busque errores o inconsistencias en los resultados de la prueba.

Configuración y gestión

Configurar y administrar la delegación de Kerberos es un paso crítico para garantizar que cumpla su propósito previsto sin comprometer la seguridad. Cada tipo de delegación (sin restricciones, restringida y restringida basada en recursos) requiere pasos de configuración específicos, que involucran tanto al Active Directory entorno y entornos de servicio individuales.

Delegación sin restricciones:

  • Habilítelo en una cuenta de servicio configurando el indicador TRUSTED_FOR_DELEGATION en el Active Directory cuenta de usuario propiedades.
  • No se imponen restricciones a los servicios para los cuales el delegado puede solicitar boletos en nombre del usuario, lo que hace que la selección cuidadosa de las cuentas para este tipo de delegación sea crucial para evitar riesgos de seguridad.

Delegación restringida (S4U2Proxy):

  • Configure especificando los servicios a los que una cuenta de servicio particular puede presentar credenciales delegadas. Esto se hace modificando el atributo msDS-AllowedToDelegateTo en la cuenta de servicio. Active Directory objeto.
  • Requiere configurar el indicador TRUSTED_TO_AUTH_FOR_DELEGATION en la cuenta de servicio si también se utilizará la transición de protocolo (S4U2Self), lo que permite a los servicios solicitar tickets en nombre de los usuarios sin una autenticación Kerberos inicial.

Delegación restringida basada en recursos:

  • Configure estableciendo permisos en el servicio de destino Active Directory objeto, específicamente en el atributo msDS-AllowedToActOnBehalfOfOtherIdentity. Esto permite al propietario del recurso controlar qué servicios puede delegarle directamente.
  • A diferencia de la delegación restringida tradicional, la delegación restringida basada en recursos no requiere cambios en la cuenta de servicio delegado, lo que simplifica la administración y aumenta la flexibilidad.

Conclusión

La delegación de Kerberos ofrece un marco sólido que permite a los usuarios navegar por las complejas demandas de seguridad de los entornos de red modernos. A través de la delegación, Kerberos ha evolucionado como una solución para autenticar usuarios en redes no seguras. Aunque esta capacidad es poderosa, requiere una comprensión integral y una gestión meticulosa para aprovecharla de manera efectiva y al mismo tiempo mitigar los riesgos de seguridad inherentes.

En todas las formas de delegación de Kerberos, las consideraciones de seguridad son de suma importancia. Debido al potencial de abuso o configuración incorrecta, una gestión atenta, auditorías periódicas y el principio de privilegios mínimos son requeridos. Al comprender los riesgos específicos asociados con cada tipo de delegación y emplear las mejores prácticas, las organizaciones pueden reducir significativamente las vulnerabilidades.

Volver al glosario