Las configuraciones de una aplicación heredada podría emplear un LDAP de texto claro para las uniones de algunos directorios en un entorno local. A pesar de que estas uniones tradicionales de LDAP eran relativamente inofensivas dentro de los LAN fortificados de antaño, la base de referencia de la seguridad moderna requiere el cifrado de todas las credenciales de usuario en tránsito para protegerlas del husmeo de contraseñas y otras formas de robo de credenciales.
Con la existencia de más ambientes remotos e híbridos, las autenticaciones LDAP se encuentran pasando más comúnmente el internet público, y por eso requieren mecanismos adicionales de seguridad.
Habrá escuchado que necesita configurar aplicaciones heredadas de terceros para usar LDAP Seguro en vez de LDAP de texto claro. LDAPS (LDAP sobre SSL) y STARTTLS (LDAP sobre TLS) son versiones seguras de LDAP que cifran el proceso de autenticación. (Tome en cuenta que “LDAPS” se usa por lo regular para indicar LDAP sobre SSL, STARTTLS, y la implementación de LDAP Seguro).
El cambiar de LDAP a LDAPS conlleva mirar con atención al inicio de los eventos del directorio de servicios, identificando manualmente y cambiando los puertos que las aplicaciones heredadas están usando para unirlo al directorio, extrayendo los certificados CA (Certificado de Autoridad) para crear una unión segura y continuar monitoreando.
El proceso puede resultar complicado y requerir de mucho tiempo, pero es posible –y, ahora más que nunca, obligatorio. Echemos una mirada mas de cerca al protocolo LDAP, lo que hace que LDAPS y STARTTLS sean seguros, y cómo implementar un proceso de autenticación seguro para aplicaciones legales.
¿Qué Es LDAP? Antecedentes Esenciales
LDAP (Lightweight Directory Access Protocol) se usa algunas veces como sinónimo o abreviatura del mismo Microsoft Active Directory. Sin embargo, mientras que mucha de la funcionalidad de AD se crea en LDAP, no es todo lo mismo– de hecho, AD impulsa una versión de propietario de Kerberos mas regularmente que LDAP para autentificar el acceso al usuario. LDAP es uno de los protocolos que muchas de las aplicaciones locales y otros recursos utilizan para autentificar usuarios contra un directorio principal como AD o OpenLDAP.
Aquí le damos un vistazo más profundo a cómo funciona LDAP. Y si quiere escuchar mas acerca del protocolo directamente de su cocreador, revise nuestra entrevista con Tim Howes:
¿Cuál es la Diferencia entre LDAP y LDAPS?
LDAPS no es fundamentalmente un protocolo distinto: es el mismo LDAP antiguo, solo que es empaquetado de manera diferente. LDAPS permite el encriptamiento de la información de LDAP (la cual incluye credenciales de usuario) en tránsito durante cualquier comunicación con el servidor LDAP (como una unión de directorio), por consiguiente, protegiéndolo del robo de credenciales.
SSL y TLS son protocolos criptográficos que utilizan certificados para establecer una conexión segura entre el cliente y el servidor antes de intercambiar cualquier información (en este caso, LDAP). TLS es una versión mejorada de SSL, haciendo que STARTTLS sea más seguro y recomendado tanto sobre LDAP, como sobre LDAPS cuando sea posible.
Debido al incremento de riesgos de seguridad y al aumento de la necesidad de encriptamiento en tránsito, LDAPS está reemplazando LDAP como el protocolo de directorio estándar aceptado. Aquí le mostramos como los administradores TI pueden implementar este cambio.
Implementando LDAPS (LDAP Sobre SSL)
Normalmente, LDAP y LDAPS están activados en el nivel base, permitiendo que el LDAP Seguro esté disponible en todas las uniones de directorio. En ambientes LDAP albergados en la cloud, por ejemplo, se encuentra disponible en la plataforma LDAP.
En AD, por otra parte, lo activas en el controlador de dominio o el catálogo global. En AD, la activación LDAPS no fuerza LDAPS automáticamente al menos que lo configure para hacerlo; solicitar las uniones LDAPS inmediatamente puede romper vínculos con los recursos que todavía emplean LDAP de texto sencillo. En tales casos, puede actualizar las ligas legales rastreando a través de sus recursos vinculados para encontrar y cambiar las ligas LDAP a LDAP Seguro.
Pruebe La Cloud LDAP de JumpCloud Gratis
¿Actualizar el Servidor Windows o OpenLDAP? Pruebe JumpCloud para gestionar de forma segura LDAP en la era moderna de las tecnologías de la información
Pruebe la versión libre de riesgo
Un controlador de dominio u otro servidor LDAP configurado apropiadamente le otorgará LDAPS por medio del puerto 636 (3269 a un servidor de catálogo global) y STARTTLS por medio del puerto 389. Puede encontrar y reparar uniones inseguras individualmente rastreando a través de su bitácora de eventos en su servicio de directorio —cualquier aplicación utilizando un puerto que no sea el 636 y el 3269 deberían ser investigadas.
En AD, la mayor parte de los culpables mostraron conexiones por medio de un puerto 2889. Para OpenLDAP, el puerto por lo regular es 389. Sin embargo, el puerto 389 soporta tanto texto sencillo como STARTTLS —sólo utilice el puerto 389 para autenticaciones que soporten STARTTLS: de lo contrario, use el puerto 636 para LDAPS. (El consultor de administración del centro de almacenamiento Kurt Roggen establece los detalles de este proceso en su blog).
Cuando se trata de unirse con LDAPS, muchas aplicaciones requieren que usted cargue un Certificado de Autoridad de Pares (Peer Certificate Authority).
¿Entonces Necesito LDAP/LDAPS?
Dado que vimos algunas de las soluciones alternativas necesarias con la finalidad de usar LDAP de forma segura, se ha de estar preguntando si LDAP todavía tiene un lugar en el panorama de las TI modernas. La respuesta inmediata a esto es que si. A pesar de que la transferencia de cargas de trabajo a la cloud ha llevado al incremento de otros protocolos de autenticación, muchas soluciones locales de hardware y software y centros de información todavía usan LDAP. Tim Howes lo resume bien al final de su entrevista:
“Uno observa al mundo moverse más y más a la cloud, pero todavía existe un mundo dejado atrás en su ambiente local —usted tiene dispositivos, tiene impresoras, tiene todo. La gente también debe autentificarse en estos contextos diferentes”.
Así que la pregunta no debería ser “¿Entonces necesito LDAP?”, sino “¿Existe una mejor manera de gestionar de forma segura LDAP en la era moderna de las tecnologías de la información?”
Un Enfoque Moderno a LDAP & LDAPS
Si pasa por el proceso de evaluación mostrada arriba y descubre más de un manojo de conexiones inseguras LDAP, esto es, muy probablemente, una señal de que su directorio y aplicaciones necesitan actualizarse. Antes de que se comprometa al costo de mejorar su Servidor Windows o OpenLDAP y cualquier hardware asociado, querrá considerar una solución más moderna y comprensible para la gestión de su LDAP.
¿Y qué sucedería si en vez de redoblar la apuesta en el Active Directory o OpenLDAP local, migrara sus usuarios y sistemas a un nuevo directorio completo albergado en la cloud? Su nuevo directorio podría gestionar de forma segura tanto la autorización y autenticación para una amplia variedad de recursos, tanto en la cloud y como localmente, con la funcionalidad de LDAP Seguro incluida y toda la información en tránsito cifrada automáticamente.