📚 Lección: Autenticación local, de red y remota

🚦 Introducción

En todo sistema operativo moderno, el proveedor de autenticación es clave para controlar quién accede al sistema.
La autenticación garantiza que solo usuarios autorizados puedan iniciar sesión, ya sea localmente, en la red o de forma remota.

🔐 Autenticación basada en conocimiento

  • Se basa en hashes criptográficos → La contraseña no se almacena en texto plano.

  • Proceso:

    • El usuario introduce la contraseña → el sistema genera un hash.

    • El hash se compara con el hash almacenado → Si coinciden → acceso concedido.

🖥️ Autenticación en Windows

➡️ Inicio de sesión local

  • Servicio LSASS + Base de datos SAM

  • Comparación del hash → acceso permitido o denegado.

➡️ Inicio de sesión en red

  • LSASS + Active Directory (AD).

  • Preferido: Kerberos → tokens y tickets para mayor seguridad.

  • Alternativa heredada: NTLM → menos seguro pero aún en uso en sistemas antiguos.

➡️ Inicio de sesión remoto

  • Métodos comunes → VPN, Wi-Fi corporativa, portales web seguros.

  • Objetivo: Crear un túnel seguro → transmitir credenciales protegidas.

🐧 Autenticación en Linux

➡️ Inicio de sesión local

  • Archivos /etc/passwd (nombre de usuario) y /etc/shadow (hash de contraseña).

  • Comparación del hash en el momento de la autenticación.

➡️ Inicio de sesión en red

  • SSH → protocolo seguro por defecto.

  • Métodos:

    • Contraseña → convertida en hash.

    • Clave criptográfica → método más seguro.

➡️ PAM (Pluggable Authentication Module)

  • Framework flexible para autenticación personalizada.

  • Ejemplos → tarjetas inteligentes, biometría, integraciones con servicios en la nube o directorios.

🚧 Aplicaciones y herramientas en usos reales

Uso Herramientas ->  Protocolos
Inicio de sesión local en Windows ->  SAM + LSASS
Autenticación de red en Windows ->  Kerberos / NTLM + Active Directory
Inicio de sesión remoto en Windows ->  VPN, Wi-Fi Empresarial, Portales Web
Autenticación local en Linux ->  /etc/passwd + /etc/shadow
Autenticación remota en Linux ->  SSH (clave o contraseña)
Autenticación flexible en Linux ->  PAM

🧑‍💼 Qué hace un líder Red, Blue y Purple Team al respecto

Red Team (Atacante)

  • Intentará obtener hashes (ej: SAM en Windows o /etc/shadow en Linux).

  • Podría explotar protocolos débiles (ej: NTLM downgrade attack).

  • Buscará evitar autenticación multifactor en VPNs o portales remotos.

Blue Team (Defensa)

  • Reforzar políticas de contraseñas y bloqueo de cuentas.

  • Deshabilitar NTLM en favor de Kerberos donde sea posible.

  • Aplicar MFA en accesos remotos.

  • Implementar hardening en SSH (solo claves, no contraseñas).

Purple Team (Cómo se ataca y cómo se defiende)

Ataque - Defensa
Robo de hashes (LSASS dump, /etc/shadow) - EDR, protección LSASS, permisos mínimos, cifrado
Downgrade de NTLM o Pass-the-Hash - Deshabilitar NTLM, forzar Kerberos, MFA
Ataques contra SSH (brute force, credenciales débiles) - Solo permitir claves, fail2ban, MFA
Ataques a VPN y portales remotos - MFA - obligatorio, monitoreo de accesos

✅ Resumen práctico

Autenticación → Verificar identidad → clave para controlar accesos.
Windows local → Hash comparado en SAM con LSASS.
Windows red → Kerberos preferido, NTLM heredado.
Windows remoto → VPN, Wi-Fi y portales → acceso seguro.
Linux local → passwd + shadow → hash comparado.
Linux red → SSH → clave pública + autenticación fuerte.
PAM → Mecanismo modular → soporta métodos avanzados de autenticación.

Combinación → La autenticación local + red + remota protegen todos los vectores de acceso. Es esencial combinar métodos y añadir MFA para máxima seguridad.
Mystara - Mind Hacker - Purple TeamBlog
Todos los derechos reservados 2024
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar