Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Un requisito para el inicio de sesión único federado es la disponibilidad de los puntos de conexión para autenticarse a través de Internet. La disponibilidad de los puntos de conexión de autenticación en Internet permite a los usuarios acceder a las aplicaciones incluso cuando no están en una red corporativa.
Esto también significa que algunos actores incorrectos pueden aprovechar las ventajas de los puntos de conexión federados disponibles en Internet para usar estos puntos de conexión para intentar determinar contraseñas o crear ataques por denegación de servicio. Un ataque de este tipo que se está volviendo más común se denomina ataque de contraseña.
Hay dos tipos de ataques de contraseña comunes. Ataque de pulverización de contraseñas y ataque de fuerza bruta.
Ataque de difusión de contraseñas
En un ataque de difusión de contraseñas, estos actores incorrectos probarán las contraseñas más comunes en muchas cuentas y servicios diferentes para obtener acceso a cualquier recurso protegido con contraseña que puedan encontrar. Normalmente, estos abarcan muchas organizaciones y proveedores de identidades diferentes. Por ejemplo, un atacante usará un kit de herramientas disponible habitualmente para enumerar todos los usuarios de varias organizaciones y, a continuación, probará "P@$$w 0rD" y "Password1" en todas esas cuentas. Para darte la idea, un ataque podría parecerse a:
| Usuario de destino | Contraseña de destino |
|---|---|
| User1@org1.com | Contraseña1 |
| User2@org1.com | Contraseña1 |
| User1@org2.com | Contraseña1 |
| User2@org2.com | Password1 |
| … | … |
| User1@org1.com | P$$@w0rD |
| User2@org1.com | P$$@w0rD |
| User1@org2.com | P$$@w0rD |
| User2@org2.com | P$$@w0rD |
Este patrón de ataque evita la mayoría de las técnicas de detección porque desde el punto de vista de un usuario o empresa individuales, el ataque se parece a un inicio de sesión con errores aislado.
Para los atacantes, es un juego de números: saben que hay algunas contraseñas ahí afuera que son más comunes. El atacante obtendrá algunos éxitos por cada mil cuentas expuestas a ataques y eso es suficiente para ser efectivo. Usan las cuentas para obtener datos de correos electrónicos, recopilar información de contacto y enviar vínculos de suplantación de identidad (phishing) o simplemente expandir el grupo de destino de difusión de contraseñas. A los atacantes no les importa mucho quiénes son los objetivos iniciales, solo que tienen cierto éxito que pueden aprovechar.
Sin embargo, al realizar algunos pasos para configurar correctamente AD FS y la red, los puntos de conexión de AD FS se pueden proteger contra este tipo de ataques. En este artículo se describen tres áreas que deben configurarse correctamente para ayudar a protegerse contra estos ataques.
Ataque de contraseña por fuerza bruta
En este tipo de ataque, un atacante intentará varios intentos de contraseña en un conjunto de cuentas de destino. En muchos casos, estas cuentas se destinarán a usuarios que tengan un mayor nivel de acceso dentro de la organización. Estos podrían ser ejecutivos dentro de la organización o los administradores que administran la infraestructura crítica.
Este tipo de ataque también podría dar lugar a patrones de DOS. Esto podría estar en el nivel de servicio donde AD FS no puede procesar un gran número de solicitudes debido a un número insuficiente de servidores. Esto podría estar en un nivel de usuario en el que un usuario está bloqueado fuera de su cuenta.
Protección de AD FS contra ataques de contraseña
Sin embargo, al realizar algunos pasos para configurar correctamente AD FS y la red, los puntos de conexión de AD FS se pueden proteger contra estos tipos de ataques. En este artículo se describen tres áreas que deben configurarse correctamente para ayudar a protegerse contra estos ataques.
- Nivel 1, Línea de base: estas son las opciones básicas que deben configurarse en un servidor de AD FS para asegurarse de que los actores incorrectos no puedan atacar por fuerza bruta a los usuarios federados.
- Nivel 2, Protección de la extranet: estas son las opciones que deben configurarse para asegurarse de que el acceso a la extranet está configurado para usar protocolos seguros, directivas de autenticación y aplicaciones adecuadas.
- Nivel 3, Pasar a sin contraseña para el acceso a la extranet: se trata de opciones avanzadas y directrices para habilitar el acceso a recursos federados con credenciales más seguras en lugar de contraseñas que son propensas a ataques.
Nivel 1: Línea base
En AD FS 2016, implemente el bloqueo inteligente de extranet. El bloqueo inteligente de extranet realiza un seguimiento de las ubicaciones conocidas para que un usuario válido pueda acceder si ha iniciado sesión correctamente desde esa ubicación. Mediante el uso del bloqueo inteligente de extranet, puede asegurarse de que los malhechores no podrán atacar por fuerza bruta a los usuarios y, al mismo tiempo, permitirán que el usuario legítimo sea productivo.
Si no está en AD FS 2016, se recomienda encarecidamente actualizar a AD FS 2016. Es una ruta de actualización sencilla de AD FS 2012 R2. Si está en AD FS 2012 R2, implemente el bloqueo de extranet. Una desventaja de este enfoque es que los usuarios válidos pueden ser bloqueados del acceso a la extranet si se experimenta un patrón de ataque de fuerza bruta. AD FS en Server 2016 no tiene esta desventaja.
Supervisar y bloquear direcciones IP sospechosas
Si tiene Microsoft Entra ID P1 o P2, implemente Connect Health para AD FS y aproveche las notificaciones proporcionadas por el informe de IP arriesgada.
a. La licencia no es para todos los usuarios y requiere 25 licencias por servidor AD FS/WAP que puede ser fácil para un cliente.
b. Ahora puede investigar las direcciones IP que generan un gran número de inicios de sesión con errores.
c. Esto requerirá que habilite la auditoría en los servidores de AD FS.
Bloquear direcciones IP sospechosas. Esto puede bloquear ataques DOS.
a. Si está en 2016, use la característica Direcciones IP prohibidas de extranet para bloquear las solicitudes de IP marcadas por #3 (o análisis manual).
b. Si está en AD FS 2012 R2 o inferior, bloquee la dirección IP directamente en Exchange Online y, opcionalmente, en el firewall.
Si tiene Microsoft Entra ID P1 o P2, use Protección con Contraseña de Microsoft Entra para evitar que las contraseñas adivinables entren en Microsoft Entra ID.
a. Si tiene contraseñas adivinables, puede descifrarlas con solo 1-3 intentos. Esta característica impide que estos se configuren.
b. Según nuestras estadísticas de versión preliminar, se bloquea casi del 20 al 50 % de las contraseñas nuevas. Esto implica que % de usuarios son vulnerables a contraseñas fácilmente adivinadas.
Nivel 2: Proteger la extranet
Vaya a la autenticación moderna para cualquier cliente que acceda desde la extranet. Los clientes de correo son una gran parte de esto.
a. Deberá usar Outlook Mobile para dispositivos móviles. La nueva aplicación de correo nativo de iOS también admite la autenticación moderna.
b. Deberá usar Outlook 2013 (con las revisiones de CU más recientes) o Outlook 2016.
Habilite MFA para todo el acceso a la extranet. Esto le proporciona protección adicional para cualquier acceso de extranet.
a. Si tiene microsoft Entra ID P1 o P2, use las directivas de acceso condicional de Microsoft Entra para controlarlo. Esto es mejor que implementar las reglas en AD FS. Esto se debe a que las aplicaciones cliente modernas se aplican con más frecuencia. Esto ocurre, en microsoft Entra ID, al solicitar un nuevo token de acceso (normalmente cada hora) mediante un token de actualización.
b. Si no tiene microsoft Entra ID P1 o P2 o tiene aplicaciones adicionales en AD FS que permita el acceso basado en Internet, implemente la autenticación multifactor de Microsoft Entra y configure una directiva de autenticación multifactor global para todo el acceso a la extranet.
Nivel 3: Pasar a sin contraseña para el acceso a la extranet
Vaya a La ventana 10 y use Hello For Business.
Para otros dispositivos, si está usando AD FS 2016, puede usar OTP de autenticación multifactor de Microsoft Entra como el primer factor y la contraseña como el segundo factor.
En el caso de los dispositivos móviles, si solo permite dispositivos administrados por MDM, puede usar certificados para registrar al usuario.
Gestión urgente
Si el entorno de AD FS está bajo ataque activo, se deben implementar los pasos siguientes al principio:
- Deshabilite los puntos de conexión de nombre de usuario y contraseña en AD FS y requiera que todos los usuarios usen una VPN para obtener acceso o estar dentro de la red. Esto requiere que se complete el paso Nivel 2 #1a . De lo contrario, todas las solicitudes internas de Outlook se enrutarán a través de la nube a través de la autenticación del proxy EXO.
- Si el ataque solo viene a través de EXO, puede deshabilitar la autenticación básica para los protocolos de Exchange (POP, IMAP, SMTP, EWS, etc.) mediante directivas de autenticación, estos protocolos y métodos de autenticación se usan en la mayoría de estos ataques. Además, las reglas de acceso de cliente en EXO y la habilitación del protocolo por buzón se evalúan después de la autenticación y no le ayudarán a mitigar los ataques.
- Ofrezca selectivamente acceso a la extranet mediante Level 3 #1-3.