Lidiando con la encriptación de hoy

  • Article

 

Por Daniel Seveso

Tuve un caso hace unos días, donde necesitaba averiguar la conversación LDAP entre un servidor Exchange 2007 y un controlador de dominio Windows.

En los días de Exchange 5.5 y Windows 2000, todo lo que se necesitaba era una captura de red en el cliente de LDAP, y analizar lo que se veía en el tráfico correspondiente al puerto 389.

Luego se incorpora LDAP signing que encripta y firma el tráfico LDAP de forma de proteger el contenido de información, luego IPSec como una capa más de encriptación y como si fuera poco TCP offloading embebido ahora en Windows 2003 SP2 y las nuevas tarjetas de red. Todo esto puede reducir lo que vemos en una captura de tráfico a los tres paquetes iniciales de la conversación TCP/IP, o lo que se denomina "Three way handshake".

Un colega me sugirió usar esta herramienta que es lo que quiero destacar en este post, por ser de gran utilidad para evitar nuestro mundo encriptado.

AD Insight, se conecta al cliente ldap de cualquier máquina 32-bit (wldap32.dll) y reporta, al mejor estilo FileMon o RegMon, toda la actividad LDAP generada por ese cliente. Esto incluye obviamente los datos enviados, respuestas del servidor y cualquier error que haya en la comunicación LDAP. (por supuesto esto no nos sirve para investigar problemas de red, sino para investigar problemas de LDAP).

AD Insight muestra el nombre del proceso, el puerto que genera la conexión, el tipo de requerimiento, la cuenta que se está usando para realizar el query y el DC al que se está efectuando la consulta.

Tiene un asistente para localizar problemas, indica el tiempo que toma determinada búsqueda y la lista completa de argumentos para cada query.

Aquí hay un ejemplo de la interfaz gráfica para que tengan una idea.

Lo mejor de esta herramienta: Es de Sysinternals, o sea, ahora de Microsoft. Puedes bajarla en forma gratuita de https://technet.microsoft.com/en-us/sysinternals/bb897539.aspx

Algunas restricciones: Solo funciona en 32-bit. He logrado usarla en Virtual PC deteniendo el servicio de Virtual Machine Additions, pero la experiencia en VPC fue bastante inestable.

image

Enjoy!