AD FS protección contra ataques con contraseña

¿Qué es un ataque de contraseña?

Un requisito para el inicio de sesión único federado es la disponibilidad de los puntos de conexión para autenticarse a través de Internet. La disponibilidad de los puntos de conexión de autenticación en Internet permite a los usuarios acceder a las aplicaciones incluso cuando no están en una red corporativa.

Sin embargo, esto también significa que algunos actores no correctos pueden aprovechar los puntos de conexión federados disponibles en Internet y usar estos puntos de conexión para intentar determinar contraseñas o para crear ataques por denegación de servicio. Uno de estos ataques cada vez más comunes se denomina ataque de contraseña.

Hay dos tipos de ataques de contraseña comunes. Difusión de contraseña ataque por & fuerza bruta de contraseña.

Ataque de restablecimiento de contraseña

En un ataque de restablecimiento de contraseña, estos actores no autorizados probarán las contraseñas más comunes en muchas cuentas y servicios diferentes para obtener acceso a los recursos protegidos con contraseña que puedan encontrar. Normalmente, abarcan muchas organizaciones y proveedores de identidades diferentes. Por ejemplo, un atacante usará un kit de herramientas de disponibilidad común para enumerar todos los usuarios de varias organizaciones y, a continuación, probará "P@$$w 0rd" y "Password1" en todas esas cuentas. Para darle la idea, un ataque podría tener el siguiente aspecto:

Usuario de destino	Contraseña de destino
User1@org1.com	Password1
User2@org1.com	Password1
User1@org2.com	Password1
User2@org2.com	Password1
…	…
User1@org1.com	P@$$w0rd
User2@org1.com	P@$$w0rd
User1@org2.com	P@$$w0rd
User2@org2.com	P@$$w0rd

Este patrón de ataque evita la mayoría de las técnicas de detección porque, desde el punto de vista de un usuario o empresa individuales, el ataque solo parece un inicio de sesión con errores aislado.

Para los atacantes, es un juego de números: saben que hay algunas contraseñas que son muy comunes. El atacante tendrá algunos éxitos por cada miles de cuentas atacadas y eso es suficiente para ser eficaz. Usan las cuentas para obtener datos de correos electrónicos, recopilan información de contacto y envían vínculos de suplantación de identidad (phishing) o simplemente expanden el grupo de destino de la aplicación de aspersión de contraseñas. A los atacantes no les importa mucho quiénes son esos objetivos iniciales, solo que tienen cierto éxito que pueden aprovechar.

Sin embargo, al realizar algunos pasos para configurar el AD FS y la red correctamente, AD FS puntos de conexión se pueden proteger frente a este tipo de ataques. En este artículo se tratan tres áreas que deben configurarse correctamente para ayudar a protegerse frente a estos ataques.

Ataque de contraseña por fuerza bruta

En esta forma de ataque, un atacante intentará varios intentos de contraseña en un conjunto de cuentas de destino. En muchos casos, estas cuentas se dirigirán a los usuarios que tengan un mayor nivel de acceso dentro de la organización. Podrían ser ejecutivos de la organización o administradores que administran la infraestructura crítica.

Este tipo de ataque también podría dar lugar a patrones de DOS. Esto podría estar en el nivel de servicio donde AD FS no puede procesar un gran número de solicitudes debido a un número insuficiente de servidores o podría estar en un nivel de usuario donde un usuario está bloqueado fuera de su cuenta.

Protección de AD FS ataques de contraseña

Sin embargo, al realizar algunos pasos para configurar el AD FS y la red correctamente, AD FS puntos de conexión se pueden proteger frente a estos tipos de ataques. En este artículo se tratan tres áreas que deben configurarse correctamente para ayudar a protegerse frente a estos ataques.

• Nivel 1, Línea base: estas son las opciones básicas que se deben configurar en un servidor AD FS para garantizar que los actores no puedan atacar por fuerza bruta a los usuarios federados.
• Nivel 2, Protección de la extranet: estos son los valores que se deben configurar para asegurarse de que el acceso a la extranet está configurado para usar protocolos seguros, directivas de autenticación y aplicaciones adecuadas.
• Nivel 3, Pasar a acceso sin contraseña para extranet: se trata de una configuración avanzada e instrucciones para permitir el acceso a recursos federados con credenciales más seguras en lugar de contraseñas propensas a ataques.

Nivel 1: línea base

1. Si AD FS 2016, implemente el bloqueo inteligente de extranet El bloqueo inteligente de extranet realiza un seguimiento de las ubicaciones conocidas y permitirá que un usuario válido pase por si previamente ha iniciado sesión correctamente desde esa ubicación. Mediante el bloqueo inteligente de extranet, puede asegurarse de que los actores no puedan atacar por fuerza bruta a los usuarios y, al mismo tiempo, permitir que el usuario legítimo sea productivo.

   • Si no está en AD FS 2016, se recomienda encarecidamente actualizar a AD FS 2016. Es una ruta de actualización sencilla de AD FS 2012 R2. Si está en la AD FS 2012 R2, implemente el bloqueo de extranet. Una desventaja de este enfoque es que se puede bloquear el acceso a la extranet a los usuarios válidos si se encuentra en un patrón de fuerza bruta. AD FS en Server 2016 no tiene esta desventaja.

2. Supervisar Bloquear & direcciones IP sospechosas

   • Si tiene Azure AD Premium, implemente Conectar Health para AD FS y use las notificaciones de informe de IP de riesgo que proporciona.

     a. Las licencias no son para todos los usuarios y requieren 25 licencias por AD FS/WAP, lo que puede ser fácil para un cliente.

     b. Ahora puede investigar las direcciones IP que generan un gran número de inicios de sesión con errores.

     c. Esto requerirá que habilite la auditoría en los servidores AD FS cliente.

3. Bloquee las direcciones IP sospechosas. Esto puede bloquear los ataques DOS.

   a. Si se trata de 2016, use la característica Direcciones IP prohibidas de Extranet para bloquear las solicitudes de ip marcadas por #3 (o análisis manual).

   b. Si está en AD FS 2012 R2 o una versión inferior, bloquee la dirección IP directamente en Exchange Online y, opcionalmente, en el firewall.

4. Si tiene una Azure AD Premium, use la protección Azure AD contraseña para evitar que las contraseñas que se pueden adivinar entren en Azure AD

   a. Tenga en cuenta que si tiene contraseñas que se pueden adivinar, puede descifrarlas con solo 1-3 intentos. Esta característica impide que se establezcan.

   b. A partir de nuestras estadísticas de versión preliminar, casi el 20-50 % de las contraseñas nuevas se bloquean para que no se establezcan. Esto implica que el porcentaje de usuarios es vulnerable a contraseñas fácilmente adivinadas.

Nivel 2: Protección de la extranet

5. Pase a la autenticación moderna para cualquier cliente que acceda desde la extranet. Los clientes de correo son una gran parte de esto.

   a. Tendrá que usar Outlook Mobile para dispositivos móviles. La nueva aplicación de correo nativo de iOS también admite la autenticación moderna.

   b. Deberá usar Outlook 2013 (con las revisiones de CU más recientes) o Outlook 2016.

6. Habilite MFA para todo el acceso a la extranet. Esto le proporciona protección adicional para cualquier acceso a la extranet.

   a. Si tiene una Azure AD premium, use Azure AD de acceso condicional para controlarlo. Esto es mejor que implementar las reglas en AD FS. Esto se debe a que las aplicaciones cliente modernas se aplican con más frecuencia. Esto sucede, a Azure AD, al solicitar un nuevo token de acceso (normalmente cada hora) mediante un token de actualización.

   b. Si no tiene una versión premium o tiene aplicaciones adicionales en AD FS que permiten el acceso basado en Internet, implemente MFA (también puede ser Azure MFA en AD FS 2016) y realice una directiva de MFA global para todo el acceso a la extranet. Azure AD

Nivel 3: Cambiar a contraseña menos para el acceso a la extranet

7. Pase a la ventana 10 y use Hello for Business.

8. Para otros dispositivos, si AD FS 2016, puede usar OTP de Azure MFA como primer factor y contraseña como segundo factor.

9. En el caso de los dispositivos móviles, si solo permite dispositivos administrados con MDM, puede usar certificados para iniciar la sesión del usuario.

Control urgente

Si el AD FS está bajo ataque activo, los pasos siguientes se deben implementar lo antes posible:

• Deshabilite el punto de conexión U/P AD FS y exija que todos los usuarios accedan a la VPN o que se encuentran dentro de la red. Esto requiere que se complete el paso Nivel 2 #1a . De lo contrario, todas Outlook solicitudes internas se seguirán enrutar a través de la nube a través de la autenticación de proxy de EXO.
• Si el ataque solo llega a través de EXO, puede deshabilitar la autenticación básica para protocolos de Exchange (POP, IMAP, SMTP, SMTP, ETC.) mediante directivas de autenticación, estos protocolos y métodos de autenticación se usan en la gran mayoría de estos ataques. Además, las reglas de acceso de cliente en EXO y la habilitación del protocolo por buzón se evalúan después de la autenticación y no ayudan a mitigar los ataques.
• Ofrezca de forma selectiva acceso a la extranet mediante el nivel 3 #1-3.

Pasos siguientes

• Actualización a AD FS server 2016
• Bloqueo inteligente de extranet en AD FS 2016
• Configuración de directivas de acceso condicional
• Azure AD protección con contraseña