none
Autenticación en dominio (Kerberos y NTLM) RRS feed

 > 

  • Pregunta

  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Buenos días,

    Hace poco tiempo abrí un hilo con un tema parecido, pero se me hizo muy extenso, comprendí algunas cosas, luego hizo unas búsquedas en internet, pero.....pregunto:

    1. En un entorno de dominio, Kerberos v5 autentica a los usuarios , cifrando las credenciales en un nivel alto de cifrado

    2.Por otro lado veo una política, también de autenticación, llamada: "Seguridad de redes: Nivel de autenticación de LAN Manager , LM"

    Un compañero muy amable, en el otro hilo que abrí, me explica que Kerberos no siempre va a autenticar a los usuarios del dominio. Yo había leido que en entornos de dominio, si era Kerberos el que autenticaba a los usuarios. ¿Hay excepciones a esta regla? ¿Cuando autentica NTLM en vez de Kerberos? ¿Quizás es por tema de compatibilidad con 98, Milenium, NT SP3 ... ?

    Mi dominio está lleno de clientes XP y de Controladores 2003, con lo que creo las autenticaciones serán 100% Kerberos, sino me equivoco.

    3. Respecto a la polítca "Seguridad de redes: Nivel de autenticación de LAN Manager , LM", la tengo establecida en Enviar respuesta NTLM2,rechazar LM, la seguna mejor según veo en la explicación de la política. Establecí en su dia la más alta "Enviar respuesta NTLMv2\Rechazar LM y NTLM" pero me fallaban autenticaciones y otras cosas,  cosa que no entendía porque los clientes eran XP Pro SP2 y los controladores 2003 Enterprise actualizados y nativizados a 2003.

    En realida mi pregunta es otra. En esa política veo esta explicación:

    "Enviar sólo respuesta NTLMv2 y rechazar LM: los clientes sólo usan la autenticación NTLMv2, así como la seguridad de sesión NTLMv2 si el servidor la admite; los controladores de dominio rechazan LM (sólo aceptan la autenticación NTLM y NTLMv2)" . ¿A que se refiere con "seguridad de sesión" ? ¿Tiene que ver algo con cifrar algo más que la autenticación? Porque hasta donde sé, no es lo mismo cifrar las credenciales, que cifrar una sesión establecida entre cliente-servidor.

    Muchas gracias de antemano !

     

    Luis Olías Técnico/Admon Sistemas Sevilla (España)
    lunes, 30 de mayo de 2011 8:26
    |

Respuestas

  • Question
    Inicie sesión para votar
    2
    Inicie sesión para votar

    Buenos días Luis,

     

    A ver si te puedo ayudar.

     

    En el siguiente enlace te detallan posibles casos en los que se realiza la autenticacion con NTLM y no con Kerberos;

    http://technet.microsoft.com/en-us/library/cc779070%28WS.10%29.aspx. En muchso casos suele tener que ver con alguna aplicacion Web interna, una intranet.

     

    En cuanto a la directiva "seguridad de redes: Nivel de autenticación". Si estableces la configuración en los clientes para enviar respuesta NTLMv2 y el servidor lo admite se establecería una sesion NTLMv2. Este tipo de sesiones implementan algunas mejoras respecto a la version antigua de NTLM; claves separadas para confidencialisas e integridad de mensajes, implementa un mecanismo de comprobacion de la integridad del mensaje, e impide ciertos tipos de ataques en texto plano para el desafio del cliente.

     

    La directiva de seguridad de nivel de autenticacion hace referencia a la seguridad que se va a establecer en la sesion entre cliente y servidor, a eso se refiere la seguridad de sesion, a las caracteristicas que implementa cada version del protocolo a la hora de establecer la sesion.

     

    Un saludo

    • Propuesto como respuesta Marta.coronado jueves, 2 de junio de 2011 7:52
    • Votado como útil Luis Olias jueves, 2 de junio de 2011 9:46
    • Marcado como respuesta Luis Olias viernes, 3 de junio de 2011 11:55
    • Desmarcado como respuesta Luis Olias viernes, 3 de junio de 2011 11:55
    • Marcado como respuesta Ismael Borche miércoles, 20 de julio de 2011 20:22
    jueves, 2 de junio de 2011 7:52
    |

Todas las respuestas

  • Question
    Inicie sesión para votar
    2
    Inicie sesión para votar

    Buenos días Luis,

     

    A ver si te puedo ayudar.

     

    En el siguiente enlace te detallan posibles casos en los que se realiza la autenticacion con NTLM y no con Kerberos;

    http://technet.microsoft.com/en-us/library/cc779070%28WS.10%29.aspx. En muchso casos suele tener que ver con alguna aplicacion Web interna, una intranet.

     

    En cuanto a la directiva "seguridad de redes: Nivel de autenticación". Si estableces la configuración en los clientes para enviar respuesta NTLMv2 y el servidor lo admite se establecería una sesion NTLMv2. Este tipo de sesiones implementan algunas mejoras respecto a la version antigua de NTLM; claves separadas para confidencialisas e integridad de mensajes, implementa un mecanismo de comprobacion de la integridad del mensaje, e impide ciertos tipos de ataques en texto plano para el desafio del cliente.

     

    La directiva de seguridad de nivel de autenticacion hace referencia a la seguridad que se va a establecer en la sesion entre cliente y servidor, a eso se refiere la seguridad de sesion, a las caracteristicas que implementa cada version del protocolo a la hora de establecer la sesion.

     

    Un saludo

    • Propuesto como respuesta Marta.coronado jueves, 2 de junio de 2011 7:52
    • Votado como útil Luis Olias jueves, 2 de junio de 2011 9:46
    • Marcado como respuesta Luis Olias viernes, 3 de junio de 2011 11:55
    • Desmarcado como respuesta Luis Olias viernes, 3 de junio de 2011 11:55
    • Marcado como respuesta Ismael Borche miércoles, 20 de julio de 2011 20:22
    jueves, 2 de junio de 2011 7:52
    |
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Hola,

        Ante todo muchas gracias por tu tiempo.

    1.Gracias por el enlace en el que se habla cuando se usa NTLM en vez de Kerberos, haciendo referencia como indicabas, a temas de autenticaciones en servidores web sino he entendido mal.

    2.Si sólo se usa NTLM en dichos contextos , además de cuando los equipos están en grupos de trabajo, o cuando en el dominio hay equipos 95,98,Milenium, NT SP3 o posterior,  entiendo la directiva a la que hago referencia (Seguridad de redes: Nivel de autenticación de LAN Manager , LM) sólo se va a usar en estos caso y nunca al autenticar usuarios en un dominio con xp,2000,2003 y 2008, sino me equiovoco.

    3. Cuando comentas lo de la integridad del mensaje, es que no se haya cambiado por el camino entre origen y destino, que no es lo mismo que confidencialidad (era lo que yo creía que significaba "seguridad de sesión") , pero alguien me apuntaba en el otro hilo abierto, que para confidencialidad se usa IPSec, y no ésta política.

    4.No sé si sería mucho pedir una aclaración sobre cuando comentas "NTLMv2 entre cliente y servidor impide ciertos ataques en texto plano para el desafio del cliente". Hay aplicaciones de terceros que puede sacar los hashes de las contraseñas de la SAM, pero no creo que te refieras a eso  porque la SAM es un archivo con las contraseñas encriptadas, que por cierto por defecto aparecen con el Hash LM (muy débil !! ).

    5.Esto es una cuestión que no entiendo: Si TCP/IP es tan inseguro (no sé pensó en la seguridad a la hora de diseñarlo, según leo) , ¿ porque no se hacen políticas por defecto para que el tráfico de red viaje con IPSec con Kerberos (en el caso de dominio) o con claves aleatorias o con mecanismo que se investigaran, libre entonces de sniffers ?

    Muchas gracias !!

     

     

    Luis Olías Técnico/Admon Sistemas Sevilla (España)
    jueves, 2 de junio de 2011 10:06
    |