Servicios de Directorio Seguro

1. EXPLICACIÓN EN PROFUNDIDAD DEL CONCEPTO

📌 ¿Qué es?

Directory Services – Servicios de Directorio
Son bases de datos jerárquicas que organizan, almacenan y permiten buscar información sobre los usuarios – users, dispositivos – devices, grupos – groups, y recursos – resources de una red.

El más común es LDAP – Lightweight Directory Access Protocol, que permite consultar y modificar este directorio.

Es el "cerebro" de autenticación/autorización en una red empresarial.

🧱 ¿Cómo funciona? 

• Un cliente LDAP se "enlaza" – binds al servidor.

• Puede consultar atributos como el nombre, correo o pertenencia a grupos.

• También puede autenticar usuarios (login), o modificar datos (si tiene permisos).

El problema: LDAP básico transmite todo en texto plano.

💣 ¿Por qué es importante asegurar?

• Si un atacante intercepta credenciales LDAP sin cifrado, puede obtener acceso a cuentas críticas.

• LDAP puede ser explotado para enumerar usuarios, forzar autenticaciones, o lanzar ataques tipo pass-the-hash o brute-force.

📖 Analogía: El castillo del reino digital

Imagina una fortaleza medieval. El LDAP es el libro de registro del castillo, donde están escritos:

• Quién es quién (usuarios)

• Qué puertas pueden abrir (accesos)

• Qué salas pueden visitar (autorizaciones)

🔓 Si el libro se deja abierto y sin vigilancia, cualquiera podría copiarlo o modificarlo. Por eso necesitas:

• Un escriba (servidor LDAP) que solo responde a quien presenta un sello real (autenticación segura).

• Una caja fuerte cifrada (LDAPS o STARTTLS).

• Guardias (firewalls) que impidan que el libro se lea desde fuera del castillo.

2. EJEMPLOS PRÁCTICOS

• Active Directory – AD (Microsoft): LDAP es la base de toda autenticación en entornos Windows empresariales.

• Zimbra / OpenLDAP / Apache Directory: Soluciones open source que usan LDAP para correo o apps de usuarios.

• Integraciones SSO (Single Sign-On): Muchas apps empresariales se conectan al LDAP para autenticar usuarios.

👉 Si LDAP está inseguro, cualquier servicio conectado también está en riesgo.

3. HERRAMIENTAS Y SOLUCIONES REALES

🧩 Protocolos

• LDAP (389) – Inseguro, sin cifrado. No recomendado.

• LDAPS (636) – Seguro, con túnel TLS.

• STARTTLS (389) – Agrega seguridad a LDAP estándar.

🧰 Tecnologías

Solución - Tipo - Uso práctico

• Active Directory - Servidor LDAP + Kerberos - Control de usuarios, PCs, grupos (Windows)
• OpenLDAP - LDAP open source - Infraestructuras Linux o mixtas
• FreeIPA - LDAP + Kerberos + DNS - Alternativa a AD en entornos Linux empresariales
• Apache Directory - LDAP + GUI - Laboratorios, entornos dev

4. VISIÓN ESTRATÉGICA POR EQUIPOS

🔴 Red Team – Cómo se ataca un directorio inseguro

• LDAP enumeration – Enumeración LDAP: listar usuarios, grupos, OUs.

• Sniffing de credenciales: cuando LDAP no está cifrado.

• LDAP injection: si hay apps que no validan bien las consultas.

• Pass-the-Hash: si el atacante obtiene hashes desde LDAP y los reutiliza.

🔵 Blue Team – Cómo se defiende

• Usar siempre LDAPS o STARTTLS.

• Deshabilitar accesos anónimos o autenticación simple.

• Restringir acceso por red (solo desde IP internas y autorizadas).

• Hacer hardening de Active Directory o OpenLDAP.

• Monitorizar autenticaciones fallidas o inusuales.

🟣 Purple Team – Cómo se gestiona y mejora

• Auditar los servicios de directorio y verificar si usan cifrado.

• Documentar qué servicios se conectan al LDAP.

• Simular ataques de enumeración y verificar si se logran o no.

• Implementar detección de patrones de abuso (brute force, bind anónimo).

• Probar integridad del túnel TLS y vigencia del certificado LDAPS.

5. RESUMEN 

• LDAP inseguro = exposición directa de credenciales.

• Siempre que LDAP se use para autenticar o consultar información sensible, debe asegurarse con:

  • TLS (LDAPS o STARTTLS)

  • Firewall restrictivo (acceso solo desde redes internas autorizadas)

  • Logs y alertas activas sobre accesos, errores y comportamientos extraños.

• LDAP es un pilar invisible pero fundamental: si cae o es manipulado, toda la red puede colapsar.

6. CONCEPTOS CLAVE

LDAP – Lightweight Directory Access Protocol - Protocolo ligero para acceder a servicios de directorio
LDAPS – LDAP Secure - LDAP con túnel TLS para cifrado
STARTTLS - Comando que añade seguridad a una conexión
DN – Distinguished Name - Identificador único de un objeto en LDAP
SASL – Simple Auth and Security Layer - Mecanismo de autenticación compatible con Kerberos u otros
Kerberos – Sistema de tickets de autenticación mutua

Bind – Proceso de autenticación en un servidor LDAP 

Curiosidades y Claves Críticas sobre LDAP Seguro

🧠 1. LDAP es uno de los vectores favoritos para el pivoting interno

Una vez que un atacante accede a una red interna, lo primero que hace es buscar un LDAP abierto. ¿Por qué? Porque puede:

• Enumerar usuarios, departamentos, jerarquías.

• Encontrar naming patterns (usuario.nombre, inicial+apellido, etc.).

• Saber qué servicios hay y con qué privilegios.

• Ver qué equipos pertenecen a qué OU (unidad organizativa).

🧨 Si LDAP no tiene cifrado y acceso restringido → tienes una fuga de información estructural de la empresa.

🔒 2. LDAPS ≠ STARTTLS → no son lo mismo

• LDAPS (puerto 636): inicia la conexión directamente sobre TLS.

• STARTTLS (puerto 389): comienza como LDAP normal y luego negocia una conexión segura.

🎯 Recomendación: Usar STARTTLS si necesitas compatibilidad y flexibilidad, pero siempre validando que el cliente soporte y requiera el cifrado. Si no lo hace, el canal seguirá en texto plano.

🔁 3. LDAP no tiene control de sesión ni rastreo de IP

LDAP fue diseñado como protocolo sin estado (stateless). Esto significa que:

• No sabe cuántas veces te conectas.

• No detecta patrones de abuso por sí solo.

• No limita intentos de autenticación.

👉 Necesita ser complementado con:

• Sistemas de detección de intrusos (IDS/IPS)

• Monitoreo de logs del servidor

• Firewalls o WAFs que validen comportamiento

💼 4. En Active Directory, LDAP es el canal, pero el verdadero guardián es Kerberos

Kerberos (Sistema de Autenticación basado en tickets)

• Active Directory usa LDAP + Kerberos por defecto.

• Cuando te logueas, Kerberos gestiona los tickets de autenticación → es más seguro que contraseña en texto plano.

⚠️ Pero si LDAP se deja abierto sin cifrado, un atacante puede forzar el uso de autenticación "simple" y evitar Kerberos.

🔐 Asegura que solo SASL con Kerberos esté permitido y que LDAP sin cifrado esté deshabilitado por completo.

🧨 5. LDAP puede ser vulnerable a ataques LDAP Injection

Funciona como una base de datos: si una aplicación permite que un usuario inyecte código en una consulta LDAP, puede obtener acceso no autorizado.

Ejemplo típico:

• App web pide tu usuario y busca en LDAP: (&(uid=usuario)(password=...))

• Un atacante mete: *)(uid=*) y obtiene acceso a todo el árbol.

🛡️ Solución:

• Validar todas las entradas de usuario (input sanitization)

• Usar consultas parametrizadas

• Auditar aplicaciones conectadas a LDAP

🧬 6. DNS y LDAP juntos pueden usarse para recolectar topología completa

Un atacante puede consultar el LDAP para ver los nombres de hosts y luego resolverlos con DNS interno → mapeo total de la red.

🔍 Esto es especialmente peligroso en entornos mal segmentados, donde un LDAP accesible desde cualquier VLAN puede revelar información clave.

🛡️ Recomendación:

• Aislar LDAP en su propia zona lógica (segmentación de red)

• Acceso solo desde servicios autorizados

📡 7. El puerto 389 abierto a Internet = pesadilla

Aún hoy, miles de empresas exponen LDAP a Internet sin cifrado ni autenticación fuerte.

🧨 Esto permite:

• Escaneo masivo y fingerprinting.

• Enumeración de usuarios.

• Intentos de fuerza bruta sin detección.

✅ NUNCA expongas LDAP a Internet.
Si necesitas federación o autenticación remota: usa portales de SSO, VPN o proxies LDAP protegidos por MFA y controles de acceso.

🔁 8. Puedes usar certificados cliente en LDAPS (autenticación mutua)

Aunque poco común en la web, en entornos empresariales avanzados puedes configurar:

• Certificado en el servidor (como siempre)

• Certificados digitales en los clientes

Esto permite:

• Verificar que solo máquinas autorizadas se conecten al LDAP

• Evitar credenciales planas por completo

Es más complejo, pero ideal para entornos críticos o de alta seguridad.

🧠 9. Muchos ataques a LDAP no son "explícitos", sino pasivos

• Escuchar la red esperando conexiones inseguras.

• Observar consultas y respuestas para inferir la estructura.

• Detectar patrones de tráfico para saber cuándo hay cambios en el sistema (nuevos usuarios, máquinas, etc.)

🔎 Este tipo de ataques no genera alertas si no tienes monitorización activa o SIEM configurado.

📋 10. El acceso anónimo a LDAP es el talón de Aquiles de muchas organizaciones

💥 Muchos sistemas legacy permiten acceso de solo lectura sin autenticación, "para que todo funcione".

Consecuencias:

• Permite que cualquiera vea la estructura organizativa completa.

• Puede ser el punto de partida de un ataque de movimiento lateral.

• Facilita ataques de ingeniería social (saber quién es jefe, quién está en qué departamento, etc.)

🛡️ Solución: Requiere revisar políticas de acceso y hacer limpieza de permisos.

🧠 BONUS: ¿Qué revisar en un hardening de directorio seguro?

Checklist inicial para una auditoría Purple:

✅ ¿Se está usando LDAPS o STARTTLS?
✅ ¿Los accesos anónimos están deshabilitados?
✅ ¿La autenticación es con SASL/Kerberos?
✅ ¿Está segmentado por red?
✅ ¿Se controla el acceso por IP/puerto/firewall?
✅ ¿Los certificados tienen buena vigencia y están emitidos por CA confiable?
✅ ¿Hay registros de acceso y monitoreo activo?

🧪 LABORATORIO PURPLE TEAM: Servicios de Directorio Seguro

EJEMPLO 1 – Enumeración de usuarios mediante LDAP anónimo

🧠 Nivel: Avanzado

🔴 Red Team

Escenario:
Un servidor LDAP permite acceso anónimo sin autenticación. No está cifrado (puerto 389 abierto), y pertenece a un entorno mal segmentado.

Ataque simulado:

• Enumeración masiva de usuarios, grupos y OUs.

• Detección de naming conventions (ej. j.doe, jdoe, john.doe).

• Recolección de posibles targets para ataques de contraseña (spraying, brute-force).

• Mapeo de jerarquía organizacional para ingeniería social.

🔵 Blue Team

Defensa aplicada:

• Desactivar acceso anónimo completamente.

• Reforzar políticas de acceso: mínimo necesario, solo lectura autenticada.

• Activar logs detallados de bind attempts y queries sospechosas.

• Verificar que las cuentas de servicio no usen credenciales embebidas o inseguras.

🟣 Purple Team

Acción conjunta:

• Coordinar una simulación de enumeración desde diferentes segmentos de red.

• Validar visibilidad de logs: ¿se detecta? ¿se alerta?

• Crear un informe de impacto: ¿qué se filtró? ¿quién lo detectó? ¿cuánto tiempo tomó?

• Recomendaciones para segmentación de red, autenticación forzada y refuerzo de logs.

EJEMPLO 2 – Inyección LDAP en aplicación vulnerable

🧠 Nivel: Experto

🔴 Red Team

Escenario:
Una aplicación web permite que los usuarios inicien sesión consultando directamente al servidor LDAP sin sanitización de inputs.

Ataque simulado:

• Inyección de filtros LDAP manipulados para evadir autenticación.

• Acceso a datos de otros usuarios.

• Posible escalada de privilegios si la cuenta expuesta tiene permisos elevados.

• Extracción de estructuras completas del directorio.

🔵 Blue Team

Defensa aplicada:

• Revisar la lógica de autenticación de la aplicación: aplicar validación estricta.

• Implementar consultas LDAP parametrizadas.

• Auditoría de accesos y cambios en el directorio.

• Limitar los permisos de las cuentas utilizadas por la aplicación (principio de menor privilegio).

🟣 Purple Team

Acción conjunta:

• Realizar test controlado de inyección con los equipos.

• Verificar si los logs del servidor y la aplicación capturan el intento.

• Medir tiempo de detección y capacidad de respuesta.

• Proponer y aplicar un parche o mejora en el código.

• Documentar los cambios en la política de desarrollo seguro.

EJEMPLO 3 – Ataque Man-in-the-Middle en LDAP sin cifrado

🧠 Nivel: Maestro

🔴 Red Team

Escenario:
El servicio LDAP no usa STARTTLS ni LDAPS.
Un atacante interno tiene acceso a la misma VLAN. Los usuarios se autentican desde sus equipos sin VPN ni canal cifrado.

Ataque simulado:

• Captura de tráfico LDAP con credenciales en texto plano.

• Robo de DN (Distinguished Name) y contraseñas.

• Reutilización de credenciales en otros sistemas (movimiento lateral).

• Posible falsificación de respuestas LDAP (spoofing).

🔵 Blue Team

Defensa aplicada:

• Habilitar y forzar STARTTLS o reemplazar completamente por LDAPS.

• Implementar firewall interno que bloquee tráfico LDAP sin cifrado.

• Revisar logs para detectar conexiones sin STARTTLS o con fallos de autenticación.

• Activar MFA en aplicaciones críticas conectadas al directorio.

🟣 Purple Team

Acción conjunta:

• Simulación interna de captura de tráfico en una zona de pruebas.

• Verificación cruzada: ¿qué se puede interceptar si no hay cifrado?

• Prueba de recuperación: cambiar claves de todas las cuentas capturadas.

• Entrega de reporte ejecutivo: impacto real, tiempo de exposición, plan de mitigación.

• Revisión de políticas para establecer "Todo LDAP va cifrado, siempre".

🎯 RETO FINAL PURPLE TEAM

Te propongo este ejercicio de integración:

🔒 Auditoría rápida LDAP empresarial (puede ser real o simulada):

1. Evalúa si el LDAP usa STARTTLS o LDAPS.

2. ¿Existe acceso anónimo o autenticación simple?

3. ¿Los usuarios con permisos de escritura están claramente definidos?

4. ¿Está segmentado por red el acceso al servicio?

5. ¿Se validan y monitorizan los intentos de conexión?

📋 Escribe un informe con:

• Hallazgos

• Riesgo asociado

• Recomendaciones (cortas y estratégicas)

• Tiempo estimado para mitigación

• Qué roles deben estar involucrados (SysAdmin, DevOps, Seguridad)

🧠 HABILIDADES ENTRENADAS

🔴 Red Team Reconocimiento pasivo, LDAP enumeration, inyección y abuso lógico
🔵 Blue Team Endurecimiento, autenticación segura, cifrado, firewalling
🟣 Purple Team Validación de controles, auditorías dirigidas, reporting ejecutivo