Ya está disponible la versión de mantenimiento de Awingu 5.2.4.

La actualización de seguridad de Microsoft desactiva los inicios de sesión inseguros de LDP: cómo solucionarlo y por qué

Tal y como anunció Microsoft en un reciente consejo de orientación sobre seguridad (ADV190023), se publicarán dos actualizaciones de seguridad que permitirán la vinculación del canal LDAP y los cambios de endurecimiento de la firma LDAP. El primer parche (marzo de 2020) añade nuevos eventos de auditoría y reasignación GPV que permiten este endurecimiento. Sin embargo, lo más importante es el segundo parche (H2 2020): cuando se aplique esa actualización, Microsoft AD rechazará los enlaces simples de LDAP, lo que le impedirá iniciar sesión en cualquier servicio que utilice tráfico LDAP sin cifrar. Si no has habilitado LDAP sobre SSL en Awingu, también podrías enfrentarte a este problema. Aunque todavía faltan unos meses para el parche, ya es una buena idea habilitar LDAP sobre SSL hoy mismo por numerosas razones, como se explica en esta entrada del blog - aquí se explica cómo puedes hacerlo, o cómo puedes arreglar cualquier problema que puedas tener con este parche en unos pocos clics.

LDAP frente a LDAPS

LDAP (Lightweight Directory Access Protocol) es un protocolo a través del cual los servicios de directorio se comunican entre sí para enviar, entre otras cosas, nombres de usuario, contraseñas, intentos de acceso, etc. No hay que confundirlo con Active Directory, que es aquel servidor de directorios que hace uso del protocolo LDAP. Aunque Microsoft Active Directory es el servicio de directorio estándar de la industria, es posible que oigas a la gente decir que "usa LDAP" en su lugar; lo que en realidad están diciendo es que usan un directorio diferente que también utiliza el protocolo LDAP.

El propio LDAP envía sus datos al servicio de directorio "en texto plano". Por lo tanto, es seguro decir que el razonamiento de Microsoft detrás de la introducción de estos cambios es sólido: el tráfico LDAP inseguro contiene datos altamente sensibles que no están encriptados, y por lo tanto es un blanco fácil para los atacantes y los hackers. O, como dice Extrahop, "la autenticación LDAP no es segura por sí sola. Un fisgón pasivo podría aprender su contraseña LDAP escuchando el tráfico en vuelo".

Existe una versión de LDAP llamada Secure LDAP, que encripta la transferencia de datos. Se conoce más a menudo como "LDAPS" o "LDAP sobre SSL", al igual que HTTP sobre SSL se llama también HTTPS. "LDAPS utiliza su propio puerto de red distinto para conectar clientes y servidores", dice ExtraHop, y "el puerto por defecto para LDAP es el 389, pero LDAPS utiliza el puerto 636 y establece TLS/SSL al conectarse con un cliente".

Orientación y cambios de Microsoft

En ADV190023En el documento "Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing", Microsoft ha anunciado recientemente que los cambios se ejecutarán en dos pasos:

      1. Las actualizaciones de Windows de marzo de 2020 añaden nuevos eventos de auditoría, registros adicionales y una reasignación de valores de la directiva de grupo que permitirán endurecer la vinculación de canales LDAP y la firma LDAP. Las actualizaciones de marzo de 2020 no realizan cambios en las directivas de firma LDAP o vinculación de canales ni en su equivalente del registro en los controladores de dominio nuevos o existentes.
      2. Una futura actualización mensual, cuyo lanzamiento está previsto para la segunda mitad del año natural 2020, permitirá la firma LDAP y la vinculación de canales en los controladores de dominio configurados con los valores predeterminados para esos ajustes.

Microsoft está moviendo sus plazos. No obstante, vale la pena tomar esta medida lo antes posible.

Impacto en Awingu

Si su dominio Awingu está configurado para ir a través de LDAP, sus usuarios ya no podrán iniciar sesión directamente después de que el parche de marzo de 2020 llegue al suelo. Se mostrará el siguiente error cuando los usuarios intenten iniciar sesión en su espacio de trabajo:

Es muy recomendable que prepares tu Directorio Activo para permitir la conexión LDAPS desde Awingu, no sólo para garantizar la posibilidad de inicio de sesión de tus usuarios, sino también para añadir una capa de seguridad (de bajo esfuerzo y muy recompensada) sobre tu entorno. Por suerte, arreglar esto en tu AD sólo requiere unos pocos clics:

      • Asegúrese de que el puerto 636 está abierto entre Awingu y el Directorio Activo.
      • Instale el siguiente rol en su Directorio Activo: Administrador del servidor -> Gestionar -> Añadir roles y características -> instalación basada en roles o características -> Servicios de certificación de Active Directory. Sólo es necesario instalar la Autoridad de Certificación (no es necesario reiniciar).
      • Después de la instalación, recibirá una ventana emergente para configurar los servicios de certificado:
      • Seleccione el rol de Autoridad de Certificación:
      • Seleccione la CA de la empresa
      • Seleccione la CA raíz
      • Seleccione "Crear nueva clave privada" y deje todo por defecto
      • Por último, haga clic en "configurar"
      • Reiniciar el servidor de Active Directory

Después de reiniciar tu servidor de Active Directory, te alegrará saber que la activación de LDAP sobre SSL es una opción que viene de fábrica en Awingu y que tiene un sencillo interruptor de encendido/apagado:

Activación de SSL sobre HTTP en Awingu

El método anterior se utiliza para habilitar LDAP sobre SSL con Awingu. Sin embargo, nuestro Espacio de Trabajo Unificado también ofrece la posibilidad de habilitar HTTP sobre SSL, para encriptar todas las transferencias de datos desde el dispositivo a tu dispositivo Awingu y servidores de aplicaciones/archivos. La mejor manera de ilustrarlo es con el siguiente diagrama:

Para asegurarse de que el tráfico entre el usuario y Awingu está encriptado, puede activar el HTTPS siguiendo estos pasos, tal y como indica nuestro director de operaciones Steven Dewinter:

Sobre el autor
karel
Karel Van Ooteghem
Director de Marketing
Índice de contenidos
¿Quiere saber más sobre Awingu?
Este sitio web utiliza cookies. Lea nuestra transparencia política de cookies!