📚 Parte 1 -> Autenticación de inicio de sesión único (SSO)
🚦 Introducción
SSO (Single Sign-On) permite que un usuario se autentique una sola vez y obtenga acceso a múltiples servicios o aplicaciones sin necesidad de volver a introducir sus credenciales.
🧩 Beneficios
-
Reducción del número de contraseñas → menor riesgo de phishing.
-
Mejor experiencia de usuario → menos inicios de sesión.
-
Mejora de la gestión de cuentas → centralización.
🏰 Kerberos: El guardián de tres cabezas del SSO
Kerberos es uno de los sistemas más utilizados para proporcionar SSO, especialmente en entornos de Microsoft Active Directory.
📦 Componentes clave
Componente Descripción
Cliente Usuario o servicio que solicita acceso.
Servidor de aplicaciones Servicio al que el cliente desea acceder.
KDC (Key Distribution Center) Intermediario que garantiza la identidad.
AS (Authentication Service) Autentica al cliente y entrega un Ticket Granting Ticket (TGT).
TGS (Ticket Granting Service) Expide tickets para acceder a servicios específicos.
🎯 Funcionamiento de Kerberos (flujo resumido)
-
Inicio de sesión → Cliente solicita TGT al AS.
-
La solicitud se cifra con el hash de la contraseña → no se envía la contraseña.
-
El AS valida la identidad y responde con:
-
TGT (Token lógico cifrado con la clave del KDC) → Identifica que estás autenticado.
-
Clave de sesión para TGS → Para futura comunicación.
-
-
-
Acceso a aplicaciones → Cliente solicita acceso al TGS usando su TGT.
-
El TGS responde con un ticket de servicio cifrado → Permite acceso al recurso.
-
-
Acceso final → Cliente presenta el ticket al servidor de aplicaciones.
-
Si el ticket es válido → El servidor permite el acceso sin requerir contraseña.
-
📌 Notas importantes
-
El hash de la contraseña nunca viaja por la red en texto claro.
-
El TGT no da acceso directo a recursos.
-
El ticket de servicio es temporal y específico para cada recurso.
-
Compatible con otros métodos → Ejemplo: tarjeta inteligente.
🚧 Aplicaciones y herramientas en usos reales
Uso Herramientas / Protocolos
Implementación en empresas Active Directory (AD) → Kerberos
Autenticación SSO en sistemas operativos Kerberos en Windows, macOS, Linux (MIT Kerberos, Heimdal)
Integración con servicios cloud Azure AD SSO, Okta, Ping Identity
Autenticación en apps corporativas LDAP + Kerberos en apps internas
🧑💼 Qué hace un líder Red, Blue y Purple Team al respecto
Red Team (Atacante)
-
Intentará capturar TGT o tickets de servicio para realizar Pass-the-Ticket attacks.
-
Buscará debilidades en la gestión de claves (ej. tickets sin expiración o cuentas con contraseñas débiles).
Blue Team (Defensa)
-
Implementar políticas de expiración de tickets.
-
Usar autenticación multifactor (MFA) junto con SSO.
-
Monitorizar eventos de autenticación y tickets sospechosos.
Purple Team → ¿Cómo se ataca y cómo se defiende?
Ataque Defensa
Pass-the-Ticket (uso de tickets robados) Monitorización de uso anómalo de tickets y reemisión periódica.
Kerberoasting (obtención de tickets de servicio para crackear claves) Asegurar cuentas de servicio con contraseñas fuertes + restricción de SPNs.
Suplantación de KDC o manipulación de tickets Uso de cifrado fuerte y firmas + hardening de los KDC.
✅ Resumen práctico
SSO → Inicio de sesión único → autenticación centralizada y sin repetir credenciales.
Kerberos → Protocolo SSO más usado → Clientes, Servidores, KDC (AS + TGS).
TGT → Token lógico → demuestra autenticación → no otorga acceso directo.
Tickets de servicio → Permiten acceso temporal → validez limitada.
Ejemplo real → Active Directory, entornos empresariales.
Combinación → Seguridad + facilidad → reducir exposición de contraseñas → pero requiere hardening contra ataques.
🧠 Esquema visual práctico
SSO → Autenticación única → acceso a múltiples recursos → mejor experiencia + seguridad.
Kerberos → Cliente, Servidor, KDC → AS (autenticación) → TGT → TGS (servicio).
TGT → Identifica → no da acceso → ticket de servicio sí.
Herramientas → Active Directory, Okta, Azure AD → SSO en la empresa.
Red Team → Pass-the-Ticket, Kerberoasting.
Blue Team → Expiración, MFA, monitorización.
Purple Team → Ataque y defensa → tickets robados → hardening y detección.
Parte 2 -> Autorización de inicio de sesión único con Kerberos
🧠 Concepto clave
Después de que el usuario se autentica con éxito y recibe el Ticket de Concesión de Tickets (TGT), comienza la segunda fase de Kerberos: la autorización y concesión del acceso a recursos dentro del dominio.
Esta fase se gestiona a través del TGS (Ticket Granting Service), que expide tickets de servicio para acceder a servidores o aplicaciones específicas.
⚙️ ¿Cómo funciona esta fase?
Paso a paso técnico:
-
Solicitud del ticket de servicio:
-
El cliente (principal) envía:
-
El TGT recibido previamente.
-
El nombre del servidor al que desea acceder.
-
Un autenticador cifrado con la clave de sesión TGS (marca de tiempo + ID del cliente).
-
-
El TGS:
-
Descifra el TGT usando la clave secreta del KDC.
-
Verifica el autenticador usando la clave de sesión TGS.
-
Comprueba la validez del TGT y evita ataques de repetición.
-
-
-
El TGS responde al cliente con:
-
Una clave de sesión de servicio, cifrada con la clave de sesión TGS.
-
Un ticket de servicio, cifrado con la clave secreta del servidor de destino (el cliente no puede descifrarlo).
-
-
El cliente contacta con el servidor de aplicaciones:
-
Envía el ticket de servicio + un nuevo autenticador (cifrado con la nueva clave de sesión de servicio).
-
-
El servidor de aplicaciones:
-
Usa su propia clave secreta para descifrar el ticket.
-
Obtiene la clave de sesión de servicio.
-
Usa esa clave para verificar el autenticador → si todo cuadra, autoriza el acceso.
-
-
(Opcional): El servidor envía un mensaje de vuelta (timestamp cifrado) para validar la autenticación mutua.
🧪 Aplicaciones y herramientas en usos reales
Uso real Herramienta / Sistema
Autenticación en red empresarial Active Directory + Kerberos
Sistemas Linux con SSO MIT Kerberos, Heimdal, FreeIPA
Gestión de identidad en empresas Azure AD, Keycloak (SSO con Kerberos)
Herramientas de pentest para analizar tickets Mimikatz, Rubeus
Protocolos relacionados LDAP, NTLM (heredado), SPNEGO (Web apps con SSO)
🛡️ Qué hace cada equipo al respecto
🔴 Red Team
-
Intenta capturar y reutilizar tickets → Pass-the-Ticket.
-
Apunta a Kerberoasting: extrae tickets de servicio para crackear contraseñas de cuentas de servicio.
-
Explora vulnerabilidades en el KDC (ej. tickets de larga vida, falta de expiración, cuentas SPN mal configuradas).
🔵 Blue Team
-
Configura expiración adecuada de tickets.
-
Aplica MFA para mitigar uso indebido.
-
Supervisa logs de autenticación Kerberos.
-
Protege el KDC (alta disponibilidad y hardening).
-
Controla el uso de cuentas de servicio → contraseñas fuertes y sin privilegios innecesarios.
🟣 Purple Team → ¿Cómo se ataca y cómo se defiende?
Ataque Defensa
Pass-the-Ticket Monitorización de tickets reutilizados, logs de autenticación y uso de tickets anómalos.
Kerberoasting Contraseñas fuertes en cuentas de servicio, rotación frecuente, privilegios mínimos.
Ataque en ruta (MitM) Uso de autenticación mutua y cifrado robusto entre cliente-servidor.
Suplantación de KDC Validación fuerte de los servidores KDC y segmentación de red.
✅ Resumen práctico
SSO Kerberos (segunda fase) → El usuario ya autenticado solicita acceso a recursos específicos.
TGS emite tickets de servicio cifrados que solo el servidor destino puede descifrar.
El servidor usa su clave secreta para verificar al usuario y opcionalmente responde para autenticación mutua.
Esta fase previene ataques en ruta y asegura que solo el usuario autorizado acceda a los recursos.
❗ El KDC es un punto crítico de la red y debe estar protegido con alta disponibilidad y auditorías constantes.
🧠 Esquema visual práctico
SSO Kerberos → Autenticación completada
↓
🔁 Fase de autorización con TGS
→ Cliente envía TGT + autenticador → TGS
→ TGS responde: ticket de servicio + clave sesión
→ Cliente usa ticket de servicio → Servidor
→ Servidor valida, descifra, autoriza
→ (Opcional) Autenticación mutua → protejo contra ataques MitM
🔐 KDC = punto clave → requiere redundancia y hardening.