parallels-awingu

Corel adquiere Awingu para acelerar su oferta de espacio de trabajo remoto seguro. Leer más

La actualización de seguridad de Microsoft desactiva los inicios de sesión inseguros de LDP: cómo solucionarlo y por qué

Tal y como anunció Microsoft en un reciente consejo de orientación sobre seguridad (ADV190023), se publicarán dos actualizaciones de seguridad que permitirán la vinculación del canal LDAP (protocolo ligero de acceso a directorios) y los cambios de endurecimiento de la firma LDAP. El primer parche (marzo de 2020) añade nuevos eventos de auditoría y reasignación GPV que permiten este endurecimiento.

Sin embargo, lo más importante es el segundo parche (H2 2020): cuando se aplique esa actualización, Microsoft Active Directory rechazará los enlaces simples de LDAP, lo que te impedirá iniciar sesión en cualquier servicio que utilice tráfico LDAP sin cifrar. Si no has habilitado LDAP sobre SSL en Awingu, también podrías enfrentarte a este problema.

Aunque todavía faltan unos meses para que se aplique el parche, ya es una buena idea habilitar LDAP sobre SSL hoy en día por numerosas razones, como se explica en esta entrada del blog - aquí se explica cómo puede hacerlo, o cómo puede arreglar cualquier problema que pueda tener con este parche en unos pocos clics.

LDAP vs. LDAPS

¿Qué es LDAP?

LDAP (Lightweight Directory Access Protocol) es un protocolo a través del cual los servicios de directorio se comunican entre sí para enviar, entre otras cosas, nombres de usuario y contraseñas, dirección de correo electrónico, intentos de acceso, etc. Esto significa que LDAP almacena los nombres de usuario y las contraseñas, y así las aplicaciones y servicios pueden validar a los usuarios con esos datos para darles acceso.

LDAP y directorio activo: ¿Cuál es la diferencia?

No hay que confundirlo con Active Directory, que es aquel servicio de directorio disponible en el servidor Windows que soporta el protocolo LDAP. Para que funcione requiere un controlador de dominio de Microsoft y está incluido en varios sistemas Windows Operating.

Aunque Microsoft Active Directory es el servicio de directorio estándar de la industria, es posible que escuches a la gente decir que "utilizan LDAP" en su lugar - lo que realmente están diciendo es que utilizan un directorio diferente que también está utilizando el protocolo LDAP.

Tráfico LDAP inseguro

El propio LDAP envía sus datos al servicio de directorio "en texto plano". Por lo tanto, es seguro decir que el razonamiento de Microsoft detrás de la introducción de estos cambios es sólido: el tráfico LDAP inseguro contiene datos altamente sensibles que no están encriptados, y por lo tanto es un blanco fácil para los atacantes y los hackers. O, como dice Extrahop, "la autenticación LDAP no es segura por sí sola. Un fisgón pasivo podría aprender su contraseña LDAP escuchando el tráfico en vuelo".

¿Qué es LDAP?

Existe una versión del protocolo ligero de acceso a directorios llamada LDAP seguro, que cifra la transferencia de datos. Se conoce más a menudo como "LDAPS" o "LDAP sobre SSL", al igual que HTTP sobre SSL se llama también HTTPS. "LDAPS utiliza su propio puerto de red distinto para conectar clientes y servidores", dice ExtraHop, y "el puerto por defecto para LDAP es el 389, pero LDAPS utiliza el puerto 636 y establece TLS/SSL al conectarse con un cliente". Así, la conexión es más segura y está protegida contra el robo de datos.

Orientación y cambios de Microsoft

En el documento ADV190023, "Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing", Microsoft anunció recientemente que los cambios se ejecutarán en 2 pasos:

  1. Las actualizaciones de Windows de marzo de 2020 añaden nuevos eventos de auditoría, registros adicionales y una reasignación de valores de la directiva de grupo que permitirán endurecer la vinculación de canales LDAP y la firma LDAP. Las actualizaciones de marzo de 2020 no realizan cambios en las directivas de firma LDAP o vinculación de canales ni en su equivalente del registro en los controladores de dominio nuevos o existentes.

  2. Una futura actualización mensual, cuyo lanzamiento está previsto para la segunda mitad del año natural 2020, permitirá la firma LDAP y la vinculación de canales en los controladores de dominio configurados con los valores predeterminados para esos ajustes.

Microsoft está moviendo sus plazos. No obstante, vale la pena tomar esta medida lo antes posible.

¿Cuál es el impacto del cambio de LDAP en Awingu?

¿Qué es Awingu?

Awingu es un espacio de trabajo unificado que proporciona a los usuarios un acceso altamente seguro, controlado y auditado a todos los archivos de su empresa y a las aplicaciones legacy, web y SaaS en un espacio de trabajo basado en el navegador, accesible desde cualquier dispositivo. Los administradores del sistema no necesitan instalar nada en el dispositivo del usuario final, ya que Awingu se ejecuta completamente en el navegador.

Arquitectura de Awingu

Awingu aprovecha la arquitectura actual de su empresa y se despliega como un dispositivo virtual en la mayoría de los hipervisores. Este puede ser un cloud privado o público. A partir de ahí, Awingu se conectará a un entorno de back-end clásico. Se conectará con un servicio de directorio (Active Directory), LDAP o un IdP externo para la gestión de usuarios.

Se conectará a servidores de aplicaciones que ejecuten Microsoft RDP para aplicaciones o escritorios legacy. Las aplicaciones web (por ejemplo, intranet) pueden conectarse a través del "Awingu Reverse Proxy". Por último, se conectará a sistemas de archivos clásicos a través de WebDAV y CIFS y con entornos de almacenamiento cloud como el OneDrive de Microsoft.

Capacidades integradas de Awingu

Awingu viene con interesantes capacidades (de seguridad) incorporadas. Veamos algunas de ellas

  • Incluye MFA: Permite una autenticación y seguridad sencillas cuando los usuarios quieren acceder.

  • Control de uso granular: Capa de seguridad adicional ya que los administradores del sistema pueden controlar los derechos de los usuarios o grupos de usuarios de forma muy granular.

  • Conocimiento del contexto: Defina ubicaciones geográficas y/o direcciones IP como zonas seguras por cuenta o grupo de usuarios. Dentro de esas zonas de seguridad, los usuarios pueden acceder a todas las aplicaciones y archivos compartidos.

  • Aprovechar los proveedores de identidad (externos) (IdP): ¿Ya utiliza un proveedor de identidad externo (por ejemplo, Azure AD, Okta, Google Identity)? Puede configurar una conexión SAML o OpenID Connect a este servicio (se admiten los modelos de SSO completo o de preautenticación) para aprovechar todos los servicios de seguridad que ofrece el servicio externo.

Awingu y LDAP

Si tu dominio de Awingu está configurado para ir a través de LDAP, tus usuarios ya no podrán acceder directamente a Awingu después de que el parche de marzo de 2020 llegue al suelo. Se mostrará el siguiente error cuando los usuarios intenten iniciar sesión en su espacio de trabajo:

Es muy recomendable que prepares tu Directorio Activo para permitir la conexión LDAPS desde Awingu, no sólo para garantizar la posibilidad de inicio de sesión de tus usuarios, sino también para añadir una capa de seguridad (de bajo esfuerzo y muy recompensada) sobre tu entorno. Por suerte, arreglar esto en tu Directorio Activo sólo requiere unos pocos clics:

  • Asegúrese de que el puerto 636 está abierto entre Awingu y el Directorio Activo.

  • Instale el siguiente rol en su Directorio Activo: Administrador del servidor -> Gestionar -> Añadir roles y características -> instalación basada en roles o características -> Servicios de certificación de Active Directory. Sólo es necesario instalar la Autoridad de Certificación (no es necesario reiniciar).

  • Después de la instalación, recibirá una ventana emergente para configurar los servicios de certificado:

  • Seleccione el rol de Autoridad de Certificación:
  • Seleccione la CA de la empresa

  • Seleccione la CA raíz

  • Seleccione "Crear nueva clave privada" y deje todo por defecto

  • Por último, haga clic en "configurar"

  • Reiniciar el servidor de Active Directory

Después de reiniciar tu servidor de Active Directory, te alegrará saber que la activación de LDAP sobre SSL es una opción que viene de fábrica en Awingu y que tiene un sencillo interruptor de encendido/apagado:

Activación de SSL sobre HTTP en Awingu

El método anterior se utiliza para habilitar LDAP sobre SSL con Awingu. Sin embargo, nuestro Espacio de Trabajo Unificado también ofrece la posibilidad de habilitar HTTP sobre SSL, para encriptar todas las transferencias de datos desde el dispositivo a tu dispositivo Awingu y servidores de aplicaciones/archivos. La mejor manera de ilustrarlo es con el siguiente diagrama:

Para asegurarse de que el tráfico entre el usuario y Awingu está encriptado, puede habilitar el HTTPS siguiendo estos pasos, tal y como indica nuestro director de operaciones Steven Dewinter en el siguiente vídeo:

Sobre el autor
karel
Karel Van Ooteghem

Director de Marketing

  • https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190023
  •  
Índice de contenidos
¿Quiere saber más sobre Awingu?
Este sitio web utiliza cookies. Lea nuestra transparencia política de cookies!