Kerberos y Active Directory para proteger tu red

En muchas empresas, Active Directory administra identidades y accesos, mientras Kerberos entrega el mecanismo de autenticación que permite que eso funcione sin reenviar contraseñas en cada conexión.

Cuando funciona bien, Kerberos te permite:

• validar a la persona o servicio que inicia sesión,
• confirmar con el DC que la identidad tiene permiso,
• emitir un ticket de sesión para evitar autenticaciones repetidas,
• y permitir acceso controlado a recursos sin exponer secretos sensibles en tránsito.

Qué pasa por debajo

Kerberos usa un flujo por tickets.
Tu cliente se autentica con el KDC (Controlador de Dominio) y recibe un TGT (ticket de concesión).
Ese TGT se usa para pedir tickets de servicio (service tickets) a otros recursos del dominio sin volver a enviar la contraseña.

El punto práctico: si alguien roba una contraseña, no necesariamente puede moverse libremente si el dominio no admite configuraciones débiles y si los permisos están bien delimitados.

Dónde se rompe con mayor frecuencia

En entornos reales, el riesgo no viene tanto de la teoría como de la configuración:

• Cuentas de servicio con credenciales viejas o con permisos demasiado amplios.
• SPN duplicados o mal registrados, que complican trazabilidad.
• Sincronización de tiempo fuera de rango entre clientes y DC.
• Protocolos o cifrados antiguos habilitados (ej. RC4) cuando ya hay opciones modernas.
• Delegaciones y administraciones sin separación por función.

Controles defensivos prioritarios

No necesitas rehacer tu arquitectura para mejorar Kerberos:

1. Enciende monitoreo de AD para cambios en cuentas de servicio y SPN.
2. Forzar cifrado moderno y revisar compatibilidad de clientes heredados.
3. Revisar contraseñas de servicio por ciclo, complejidad y uso real.
4. Segmentar recursos críticos y limitar privilegios de cuentas que pueden solicitar tickets hacia sistemas sensibles.
5. Separar cuentas de administración de cuentas de operación diaria y aplicar mínimo privilegio.
6. Sincronizar horario de forma consistente y monitoreada.

Qué revisar hoy

Si quieres una corrida de control práctica esta semana:

• Valida que todas las cuentas de servicio tengan propietario y justificación de negocio.
• Confirma que cada servicio que publica recursos tenga SPN correcto y único.
• Comprueba que los cambios de cuenta y contraseña de servicios queden en logs del dominio y tengan dueño de incidente.
• Documenta quién puede reiniciar servicios y quién puede tocar políticas de grupo relacionadas con autenticación.

Enlaces útiles

• Introducción a Kerberos
• Qué es Kerberoasting y cómo vigilar tus cuentas de servicio
• Principio del mínimo privilegio
• Fases del proceso de manejo de incidentes