No useis direcciones IP en Windows. !Usad nombres de red!

Conexión remota en Escritorio Remoto con una dirección IP.


 El uso de nombres de red en vez de direcciones IP en entornos Windows ofrece beneficios importantes en términos de seguridad, especialmente cuando se utiliza Kerberos para la autenticación como viene siendo por defecto. Detallamos las razones clave por las que esta práctica es recomendable;

1. Compatibilidad con Kerberos

Kerberos, como protocolo de autenticación en Active Directory, depende de los nombres de red para realizar su función de autenticación segura. Cuando se intenta establecer una conexión con direcciones IP, Kerberos no puede verificar la identidad del servidor, lo que lleva a un posible retroceso a métodos de autenticación menos seguros, como NTLM (un protocolo inseguro). Esta degradación disminuye la protección ya que Kerberos ofrece autenticación mutua basada en el uso de nombres de dominio completos.

Microsoft ya anunció en octubre de 2023 su intención de desaprobar todas las versiones de NTLM, incluidas LANMAN, NTLMv1 y NTLMv2.

Al usar NTML, estamos expuestos a vulnerabilidades tipo:

  • Vulnerabilidad a Ataques de Relay (En este tipo de ataque, un atacante intercepta las credenciales de autenticación NTLM y las reutiliza para acceder a otros recursos de la red).
  • Debilidad en la Cifrado (NTLM utiliza un cifrado basado en MD4 y DES, algoritmos que ya no se consideran seguros en la actualidad).
  • Ausencia de Autenticación Mutua (A diferencia de Kerberos, NTLM no implementa autenticación mutua, lo que significa que solo el cliente autentica su identidad ante el servidor, pero el servidor no verifica su propia identidad ante el cliente)
  • Falta de Integración con Entornos de Dominio Modernos (NTLM no se integra de manera óptima con las políticas de autenticación en Active Directory, lo que impide aprovechar características de seguridad avanzadas, como el ticketing y la delegación en Kerberos).
  • Además, NTLM carece de funciones de seguridad modernas como autenticación de múltiples factores (MFA).
  • Los hashes NTLM se almacenan en la memoria de las máquinas autenticadas. Los atacantes pueden utilizar herramientas como Mimikatz para extraer estos hashes de la memoria de la máquina, lo que les permite hacerse pasar por usuarios sin necesidad de sus contraseñas reales. Una vez que los atacantes han extraído los hashes NTLM, pueden realizar un ataque de pass the hash.

Herramienta Mimikatz usada para extraer contraseñas y hashes de LSA.

NTML, siendo inseguro se sigue aún usando por diferentes motivos:
  • Compatibilidad con sistemas antiguos: Muchas empresas aún operan sistemas y aplicaciones heredados que solo son compatibles con NTLM, especialmente si tienen sistemas internos antiguos o software personalizado que no ha sido actualizado para soportar protocolos modernos.
  • Redes aisladas: Algunas empresas utilizan NTLM en redes cerradas o aisladas, donde la exposición a amenazas es limitada. En estos entornos, el riesgo percibido es menor, y las inversiones en nuevas tecnologías pueden no ser una prioridad.
  • Costos de actualización: Cambiar de NTLM a un sistema más seguro puede requerir una inversión considerable en infraestructura, capacitación y migración de aplicaciones, por lo que algunas organizaciones retrasan esta actualización por razones de costo y tiempo.
  • Dependencia de aplicaciones: Algunos proveedores de software no han actualizado sus aplicaciones para usar otros protocolos, como Kerberos, por lo que las empresas se ven obligadas a mantener NTLM para seguir utilizando estos servicios.
  • Autenticación cruzada en dominios no confiables: NTLM a veces se utiliza en situaciones de autenticación cruzada entre dominios sin confianza o cuando hay problemas de comunicación entre dominios que limitan el uso de Kerberos.

2. Control de Acceso Basado en Identidad

Al emplear nombres de red, el sistema DNS de Active Directory puede gestionar la resolución, facilitando el control de acceso centralizado. Esto permite aplicar políticas de seguridad en función de la identidad del dispositivo o usuario, mientras que las direcciones IP, al no estar asociadas a una identidad concreta, limitan esta capacidad. Con nombres de red, se pueden establecer permisos y autenticaciones basadas en quién intenta conectarse, no solo en qué dirección de red usa.

3. Flexibilidad en la Gestión de la Red

Otra ventaja de utilizar nombres de red es la facilidad de administración. Si se produce un cambio en la IP de un servidor, solo se actualiza en DNS y las conexiones se mantienen sin necesidad de ajustes en los dispositivos que dependen de esa dirección. Este método minimiza los errores de configuración y reduce el riesgo de crear accidentalmente puntos de vulnerabilidad debido a errores manuales en la actualización de direcciones.

4. Facilita la Auditoría y la Trazabilidad

Cuando se usa DNS, se facilita el rastreo y auditoría de accesos, ya que se pueden registrar los equipos específicos que han accedido a cada recurso, lo que ayuda a identificar y responder ante comportamientos anómalos. Esto contribuye a una mayor trazabilidad y control de acceso en entornos donde la seguridad es prioritaria.

Optar por nombres de red en lugar de direcciones IP en las conexiones mejora la seguridad y permite aprovechar plenamente los mecanismos de autenticación que ofrece Kerberos. Además, simplifica la administración de la red y facilita el rastreo de accesos, lo cual es crucial en entornos empresariales que buscan minimizar riesgos y optimizar su infraestructura de seguridad.


Imagen de los detalles de la conexión con una IP.


Imagen de los detalles de una conexión y de la seguridad con nombres de red.


Como vemos, el uso de Kerberos no se realiza en las conexiones con direcciones IP.

Esapero que les ayude este consejo.

Un saludo.

Entradas populares de este blog

Protección en el protocolo SMB

Imagen
  Tipos de Versiones SMB y su Impacto en la Seguridad en Windows Server Message Block (SMB) es un protocolo esencial en los sistemas Windows que permite compartir archivos, impresoras y otros recursos a través de una red además de ser necesario para el buen funcionamiento del Directorio Activo. A lo largo de los años, SMB ha pasado por diversas actualizaciones que han mejorado su funcionalidad y seguridad. Sin embargo, la coexistencia de versiones antiguas y modernas en redes empresariales plantea importantes desafíos de seguridad. SMB 1.0: Una Amenaza Persistente Lanzada en los años 80, SMB 1.0 fue ampliamente utilizada en sistemas como Windows NT y Windows 95. Aunque fue fundamental en su época, esta versión presenta varias vulnerabilidades que la hacen inadecuada para redes actuales: Sin cifrado: Los datos se transmiten en texto claro, lo que facilita su interceptación por parte de atacantes. Autenticación débil: Usa métodos obsoletos como NTLMv1, que son susceptibles a ataq...
Leer más

Uso de múltipes proveedores de ciberseguridad e identidad

Imagen
¿Es mejor usar las herramientas de gestión de identidad y seguridad de un único proveedor o es mejor usar diferentes vendors?   Algunas veces nos vemos en la necesidad de establecer una estrategia en la adopción de las soluciones de seguridad y del uso de identidades en la empresa.    ¿Es más beneficioso trabajar con un solo proveedor para todas las soluciones de seguridad o es mejor adoptar una estrategia con múltiples proveedores? Ambas opciones tienen sus pros y contras.   Por un lado, la estrategia de un único proveedor nos permite beneficiarnos de una mayor integración, unificación y control desde plataformas centralizadas de herramientas como EDR , MFA, firewalls, etc.).  Esta puede resultar en una experiencia de administración más sencilla, una mayor compatibilidad entre aplicaciones y una rápida implementación. Además de una visión de la seguridad más unificada, en situaciones de emergencia, contar con un solo punto de contacto puede acelerar la resoluc...
Leer más