Atacant el Directori Actiu: Relacions de confiança

Els usuaris poden accedir a altres dominis d’altres forests perquè estan enllaçats a través de connexions anomenades relacions de confiança.

Una relació de confiança és una connexió que va d’un domini a un altre. No és una connexió física de la xarxa, sinó un tipus d’autenticació i autorització. Una relació de confiança et permet veure ordinadors d’altres dominis però no et permet iniciar sessió amb el teu usuari a aquests ordinadors.

Direcció

Les relacions de confiança es basen en relacions dirigides on una banda és la que confia i l’altra la confiada. Quan aquest enllaç s’estableix, els usuaris de la part confiada poden accedir als recursos del domini que confia.

És a dir, la direcció de les relacions de confiança és oposada a la direcció d’accés. Es pot fer el paral·lelisme amb les relacions d’amistat, on tu confies amb el teu amic i per tant, el deixes entrar a casa teva.

Quan una relació és entre tu i el domini al que estàs, s’anomena Inbound o Incoming trust (confiança entrant). Quan la relació és entrant, permet a usuaris del domini accedir a altres dominis.

Per altra banda, s’anomenen Outbound o Outgoing trust (confiança sortint) a aquelles relacions que van del teu domini a un altra. Per tant, usuaris d’altres dominis poden accedir al teu.

Quan dos dominis estan connectats entre ells per ambdós tipus de confiança, l’entrant i la sortint, es diu que aquests dominis estan enllaçats per una relació de confiança bidireccional.

Hi ha diverses maneres de saber a quins dominis pertany l’ordinador o usuari que controles. Per explicar-ho millor, posaré el següent exemple:

Pots veure les relacions del teu domini amb la comanda nltest:

PS C:\Usuaris\Treballador> nltest /domain_trusts
List of domain trusts:
    0: NADKI projectenadki.local (NT 5) (Direct Outbound) ( Attr: foresttrans )
    1: OFICINA_BCN bcn.oficina.local (NT 5) (Forest: 2) (Direct Outbound) (Direct Inbound) ( Attr: withinforest )
    2: OFICINA oficina.local (NT 5) (Forest Tree Root) (Primary Domain) (Native)
The command completed successfully

El resultat de la comanda (mira el diagrama si t’és més fàcil) indica que l’usuari Treballador està al domini oficina.local (atribut Primary Domain) i que té un parell de relacions. La relació sortint amb projectenadki.local indica que els seus usuaris poden accedir al domini oficina.local. A més a més, hi ha una relació bidireccional entre bcn.oficina.local i oficina.local, ja que el primer és subdomini del segon.

Ara bé, que passa si executem la mateixa comanda des del domini projectenadki.local:

PS C:\Usuaris\Nadki> nltest /domain_trusts
List of domain trusts:
    0: OFICINA oficina.local (NT 5) (Direct Inbound) ( Attr: foresttrans )
    1: NADKI projectenadki.local (NT 5) (Forest Tree Root) (Primary Domain) (Native)
The command completed successfully

Executant la comanda amb l’usuari Nadki, pots comprovar que hi ha una relació entrant des de oficina.local, que és consistent amb l’informació obtinguda amb l’usuari Treballador. Els usuari de projectenadki.local poden accedir a oficina.local, però no a bcn.oficina.local.

Transitivitat

A part del que has vist anteriorment, una relació de confiança pot ser transitiva o intransitiva. Les relacions intransitives només poden ser utilitzades per les dues parts que formen aquesta relació. En canvi, les relacions transitives poden actuar com a pont i ser utilitzades per dominis de tercers que estiguin connectats amb el domini que forma part de la relació:

Per exemple, si la relació de confiança entre el oficina.local i bcn.oficina.local és transitiva, els usuaris de projectenadki.local poden accedir a bcn.oficina.local a través de oficina.local.

Si la relació entre els dominis oficina.local i bcn.oficina.local és intransitiva, els usuaris del projectenadki.local no poden accedir a bcn.oficina.local, però els del oficina.local si.

Per tant, si ens centrem en les relacions dels dominis i subdominis dins del mateix forest, tots els usuaris del domini poden accedir als subdominis perquè tots els pares i fills estan connectats a través de relacions transitives bidireccionals.

Per accedir als ordinadors de mkt.projectenadki.local, un usuari de webs.it.projectenadki.local, ha de travessar les tres relacions de confiança.

Tipus

Al Directori Actiu hi ha diversos tipus de relacions de confiança:

  • Parent-Child: és la relació per defecte creada entre un pare i el seu fill.
  • Forest: és la relació que permet compartir recursos entre forests. D’aquesta manera, qualsevol domini dins del forest pot accedir a qualsevol domini de l’altra forest, sempre i quan la direcció i transitivitat o permetin. Si la relació de confiança d’un forest es configura malament, podria permetre a un atacant d’un altra forest obtenir el control.
  • External: relació que permet la connexió entre un domini específic i un forest que no és de confiança.
  • Realm: relació especial que permet connectar el Directori Actiu a dominis que no són Windows.
  • Shortcut: quan dos dominis dins d’un forest es comuniquen constantment però no estan connectats directament, es pot evitar que hagin de travessar moltes relacions de confiança creant una relació shortcut entre ells.

Clau de confiança

Tècnicament, quan utilitzes relacions de confiança, hi ha una comunicació entre el controlador de domini del teu domini amb el controlador de l’altre domini, o qualsevol domini intermediari.

Com es fa aquesta comunicació pot variar depenent del protocol que s’estigui utilitzant (podria ser NTLM, Kerberos…), però en qualsevol cas, els controladors de domini necessiten compartir la seva clau per mantenir les comunicacions segures. Aquesta clau es coneguda com clau de confiança o trust key i es genera quan la relació s’estableix.

Quan una relació s’estableix, un compte de confiança es crea a la base de dades del domini, com si fos un usuari però amb el símbol $ al final del nom. La clau s’emmagatzema com si fos una contrasenya.

Conclusions

A aquest curs anomenat Atacant el Directori Actiu, podràs veure diverses tècniques per comprometre usuaris i ordinadors amb l’objectiu final d’obtenir control del controlador de domini i, per tant, del directori actiu.

Per simplificar-ho tot una mica, els exemples i tècniques que utilitzaré seran només contra un sol domini. A les referències he deixat una entrada, en anglès, que explica com saltar entre forests. Resumidament, una vegada obtens control d’un domini, pots intentar saltar a altres forests i tornar a començar la metodologia per intentar comprometre el controlador de domini del forest nou.

Referencies

  • Tipus de relacions de confiança: enllaç
  • Atacant les relacions entre forests: enllaç
  • Relacions de confiança: enllaç

Deixa un comentari