¿Qué es un ataque de contraseña?
Un requisito para el inicio de sesión único federado es la disponibilidad de los puntos de conexión para autenticarse a través de Internet. La disponibilidad de los puntos de conexión de autenticación en Internet permite a los usuarios acceder a las aplicaciones incluso cuando no están en una red corporativa.
Esto también significa que algunos malhechores pueden aprovechar las ventajas de los puntos de conexión federados disponibles en Internet para intentar determinar contraseñas o crear ataques por denegación de servicio. Uno de estos ataques, cada vez más frecuentes, se denomina ataque de contraseña.
Hay dos tipos de ataques de contraseña comunes. Ataque de difusión de contraseña y ataque de contraseña por fuerza bruta.
Ataque de difusión de contraseña
En un ataque de difusión de contraseña, los malhechores probarán las contraseñas más comunes en muchas cuentas y servicios diferentes para obtener acceso a cualquier recurso protegido con contraseña que puedan encontrar. Normalmente, abarcan muchas organizaciones y proveedores de identidades diferentes. Por ejemplo, un atacante usará un kit de uso común para enumerar todos los usuarios de varias organizaciones y, a continuación, probará "P@$$w 0rD" y "Password1" en todas esas cuentas. Para que se haga una idea, un ataque podría tener el siguiente aspecto:
| Usuario de destino | Contraseña de destino |
|---|---|
| User1@org1.com | Password1 |
| User2@org1.com | Password1 |
| User1@org2.com | Password1 |
| User2@org2.com | Password1 |
| … | … |
| User1@org1.com | P@$$w0rD |
| User2@org1.com | P@$$w0rD |
| User1@org2.com | P@$$w0rD |
| User2@org2.com | P@$$w0rD |
Este patrón de ataque evita la mayoría de las técnicas de detección porque, desde el punto de vista de un usuario individual o una empresa, el ataque parece un inicio de sesión con errores aislado.
Para los atacantes, es un juego de números: saben que hay unas contraseñas que son más comunes. El atacante obtendrá unos pocos éxitos por cada mil cuentas atacadas y eso es suficiente para ser efectivo. Usan las cuentas para obtener datos de correos electrónicos, recopilar información de contacto y enviar vínculos de suplantación de identidad (phishing) o simplemente expandir el grupo de destino de difusión de contraseñas. A los atacantes no les importa mucho quiénes son los destinos iniciales, solo que tengan algún éxito que pueden aprovechar.
Sin embargo, al realizar algunos pasos para configurar correctamente AD FS y la red, los puntos de conexión de AD FS se pueden proteger contra este tipo de ataques. En este artículo se describen 3 áreas que deben configurarse correctamente para ayudar a protegerse contra estos ataques.
Ataque de contraseña por fuerza bruta
En este tipo de ataque, un atacante realizará varios intentos de contraseña en un conjunto de cuentas de destino. En muchos casos, estas cuentas se dirigen a los usuarios que tienen un mayor nivel de acceso dentro de la organización. Estos podrían ser ejecutivos dentro de la organización o administradores que gestionan la infraestructura crítica.
Este tipo de ataque también podría dar lugar a patrones de DOS. Esto podría ser en el nivel de servicio en el que AD FS no puede procesar un gran número de solicitudes debido a un número insuficiente de servidores. Esto podría ser en un nivel de usuario en el que un usuario esté bloqueado fuera de su cuenta.
Protección de AD FS frente a ataques de contraseña
Sin embargo, al realizar algunos pasos para configurar correctamente AD FS y la red, los puntos de conexión de AD FS se pueden proteger contra estos tipos de ataques. En este artículo se describen 3 áreas que deben configurarse correctamente para ayudar a protegerse contra estos ataques.
- Nivel 1, base de referencia: Estos son los valores básicos que deben configurarse en un servidor de AD FS para asegurarse de que los malhechores no pueden atacar por fuerza bruta a los usuarios federados.
- Nivel 2, protección de la extranet: Estas son las opciones que deben configurarse para asegurarse de que el acceso a la extranet está configurado para usar protocolos seguros, directivas de autenticación y aplicaciones adecuadas.
- Nivel 3, pasar a sin contraseña para el acceso a la extranet: Se trata de opciones avanzadas y directrices para habilitar el acceso a los recursos federados con credenciales más seguras en lugar de contraseñas propensas a ataques.
Nivel 1: Base de referencia
En AD FS 2016, implemente el bloqueo inteligente de extranet El bloqueo inteligente extranet realiza un seguimiento de las ubicaciones conocidas y permitirá que un usuario válido pase si ha iniciado sesión correctamente desde esa ubicación. Mediante el uso del bloqueo inteligente de extranet, puede asegurarse de que los malhechores no podrán atacar por fuerza bruta a los usuarios y, al mismo tiempo, permitirán que el usuario legítimo sea productivo.
Si no está en AD FS 2016, se recomienda encarecidamente actualizar a AD FS 2016. Es una ruta de actualización sencilla desde AD FS 2012 R2. Si está en AD FS 2012 R2, implemente el bloqueo de extranet. Una desventaja de este enfoque es que los usuarios válidos pueden ser bloqueados del acceso a la extranet si se encuentra en un patrón de fuerza bruta. AD FS en Server 2016 no tiene esta desventaja.
Supervisión de bloqueo y de direcciones IP sospechosas
Si dispone de Microsoft Entra ID P1 o P2, implemente Connect Health para AD FS y utilice las notificaciones de informes de IP peligrosa que proporciona.
a. Las licencias no son para todos los usuarios y requieren 25 licencias por servidor de AD FS/WAP, lo que puede ser fácil para un cliente.
b. Ahora puede investigar las direcciones IP que generan un gran número de inicios de sesión con errores.
c. Esto requerirá que habilite la auditoría en los servidores de AD FS.
Bloqueo de direcciones IP sospechosas. Esto bloquea potencialmente los ataques de DOS.
a. Si está en 2016, use la característica Direcciones IP prohibidas de extranet para bloquear las solicitudes de IP marcadas por #3 (o análisis manual).
b. Si está en AD FS 2012 R2 o inferior, bloquee la dirección IP directamente en Exchange Online y, opcionalmente, en el firewall.
Si tiene Microsoft Entra ID P1 o P2, use la protección de contraseñas de Microsoft Entra para evitar que se introduzcan contraseñas fáciles de adivinar en Microsoft Entra ID.
a. Si tiene contraseñas fáciles de adivinar, puede descifrarlas con solo de 1 a 3 intentos. Esta característica impide que se establezcan.
b. Según nuestras estadísticas de versión preliminar, se bloquea casi del 20 al 50 % de las contraseñas nuevas. Esto implica que el % de los usuarios son vulnerables a contraseñas fáciles de adivinar.
Nivel 2: Protección de la extranet
Vaya a la autenticación moderna para cualquier cliente que acceda desde la extranet. Los clientes de correo son una parte importante.
a. Deberá usar Outlook Mobile para dispositivos móviles. La nueva aplicación de correo nativa de iOS también admite la autenticación moderna.
b. Deberá usar Outlook 2013 (con las revisiones de actualizaciones acumulativas más recientes) u Outlook 2016.
Habilite MFA para todo el acceso a la extranet. Esto le proporciona protección adicional para cualquier acceso de extranet.
a. Si tiene Microsoft Entra ID P1 o P2, use las directivas de acceso condicional de Microsoft Entra para controlar esto. Esto es mejor que implementar las reglas en AD FS. Esto se debe a que las aplicaciones cliente modernas se aplican con más frecuencia. Esto ocurre en Microsoft Entra ID al solicitar un nuevo token de acceso (normalmente cada hora) mediante un token de actualización.
b. Si no tiene Microsoft Entra ID P1 o P2 o tiene aplicaciones adicionales en AD FS a las que permite el acceso basado en Internet, implemente la autenticación multifactor de Microsoft Entra y configure una directiva de autenticación multifactor global para todos los accesos a la extranet.
Nivel 3: Pasar a sin contraseña para el acceso a la extranet
Vaya a la ventana 10 y use Hello para empresas.
En el caso de otros dispositivos, si se encuentra en AD FS 2016, puede usar autenticación multifactor OTP de Microsoft Entra como primer factor y contraseña como segundo factor.
En el caso de los dispositivos móviles, si solo permite dispositivos administrados por MDM, puede usar Certificados para iniciar la sesión del usuario.
Control urgente
Si el entorno de AD FS está bajo un ataque activo, deben implementarse los siguientes pasos lo antes posible:
- Deshabilite los puntos de conexión de nombre de usuario y contraseña en AD FS y requiera que todos usen una VPN para obtener acceso o estar dentro de la red. Esto requiere que se complete el paso Nivel 2 #1a. De lo contrario, todas las solicitudes internas de Outlook se enrutarán a través de la nube a través de la autenticación del proxy EXO.
- Si el ataque solo llega a través del EXO, puede deshabilitar la autenticación básica para los protocolos de Exchange (POP, IMAP, SMTP, EWS, etc.) mediante directivas de autenticación, ya que estos protocolos y métodos de autenticación se usan en la mayoría de estos ataques. Además, las reglas de acceso de cliente en el EXO y la habilitación del protocolo por buzón se evalúan después de la autenticación y no le ayudarán a mitigar los ataques.
- Ofrezca de forma selectiva acceso a extranet mediante el nivel 3 #1-3.
Pasos siguientes
- Actualización al servidor AD FS 2016
- Bloqueo inteligente de extranet en AD FS 2016
- Configuración de directivas de acceso condicional
- Protección con contraseña de Microsoft Entra