Este será el primer post de una serie dedicada íntegramente a Active Directory y ataques en redes windows, en donde se explicarán los principales ataques que se suelen realizar en este tipo de entornos y las herramientas que se pueden emplear para ello. Antes de empezar es importante mencionar algunos conceptos básicos y dado que la cantidad de términos, protocolos, arquitecturas y herramientas que se utilizan en un entorno de Active Directory es enorme, en este primer post se señalan solamente aquellos componentes de un AD que son fundamentales.
En primer lugar, AD (Active Directory) es una tecnología diseñada por Microsoft e introducida en Windows 2000 Server cuyo objetivo es el de definir un conjunto de componentes centralizados que se encargan de almacenar, organizar y distribuir información a las máquinas que hacen parte de una red de ordenadores. Para que exista un AD, es necesario contar con ordenadores que tengan una versión “Server” de Windows, los cuales se encargarán precisamente de mantener la información del entorno. Ahora bien, la información que se guarda en estos servidores se compone de unidades llamadas objetos y pueden ser prácticamente cualquier cosa: Usuarios, ordenadores, grupos, unidades organizativas, servicios, etc.
Un dominio representa una agrupación lógica de un conjunto ordenadores conectados en una red los cuales comparten una base de datos de Active Directory. La base de base de datos es probablemente el elemento más importante en un AD (Active Directory) y es gestionada por los servidores centrales del dominio, también conocidos como Domain Controllers. Un dominio básicamente es una etiqueta que típicamente representa un nombre DNS, el cual en algunas organizaciones es el mismo que su sitio web, pero no tiene porque ser así en todos los casos y es posible que la organización prefiera utilizar otro nombre de dominio que será al que se unirán las estaciones de trabajo.
Son sistemas basados en Windows Server que pueden acceder y manipular la base de datos del AD. Cada dominio tiene como mínimo un controlador, por lo que si por ejemplo, un departamento o unidad de negocio crece más de lo esperado, es posible instalar más controladores de dominio dedicados a procesar las solicitudes de las estaciones de trabajo en ese departamento. También es posible crear subdominios para que los usuarios puedan acceder a los recursos en otros subdominios que hagan parte del mismo Forest.
Los dominios en AD son muy flexibles y permiten crear una infraestructura completa y bien organizada. Partiendo de un dominio raíz, es posible crear subdominios que representen la disposición física y/o lógica de las estaciones de trabajo. Esto significa que se puede crear un subdominio para el departamento de ventas, IT, marketing, etc. También se podría crear subdominios para las oficinas que se encuentran distribuidas en diferentes ubicaciones geográficas. Evidentemente, se trata de decisiones de diseño a la hora de configurar la red. Lo importante a tener en cuenta en este punto, es que un forest (bosque) es el conjunto de todos los subdominios (incluyendo el dominio raíz) y su nombre es el mismo que el de el dominio raíz.
Un dominio puede ser representado por su correspondiente nombre DNS y también, por su nombre NetBIOS. Por ejemplo el dominio “testing.local” puede ser representado por el nombre NetBIOS “testing”. El nombre NetBIOS suele ser utilizado en múltiples operativas, un caso típico puede ser el proceso de login en una estación de trabajo utilizando un usuario del dominio. Por ejemplo testing\PEPE. En donde “testing” es el nombre NetBIOS y PEPE el nombre de usuario.
Tanto los dominios como los Forest cuentan con un modo de funcionamiento mínimo. Dicho modo dicta qué características se pueden usar en el forest o dominios. Los valores se pueden consultar en la página oficial de Microsoft. La asignación del modo permite definir la versión mínima de Windows Server que deben cumplir los DC que pretendan gestionar el AD. Si por ejemplo, un dominio o forest tiene el modo funcional Windows 2008, significa que todos los DC de dicho dominio tienen como mínimo, una versión Windows Server 2008.
Los usuarios pueden acceder a los recursos de otros dominios del mismo Forest gracias al concepto de confianza (Trust). Los Trust representan una conexión entre dos dominios, sin embargo es una conexión lógica basada en mecanismos de autorización y no se refiere a una conexión de red. Dependiendo del sentido y tipo de Trust, un usuario podrá acceder a recursos de otro dominio pero no podrá autenticarse en máquinas que están en ese dominio. Los objetos “Trust” tienen un sentido que determina cuál es el dominio que confiá y cuál el dominio confiable. Cuando se establece un Trust, los usuarios del dominio confiable podrán acceder a los recursos del dominio que confía. Cuando un dominio es confiable para otro, el objeto Trust es del tipo “Inbound” o “Incoming”. Cuando un dominio confía en otro, el objeto Trust es del tipo “Outbound” o “Outcoming”.
Este es el primer post de una serie que estimo, será bastante larga pero creo que muy interesante para aprender sobre Active Directory desde cero.
Un saludo y Happy Hack!
Adastra.