OWISAM-DS-003

From OWISAM
Jump to: navigation, search

Bloqueo de cuentas de usuario (OWISAM-DS-003)

Descripción

Un servidor RADIUS permite que la autenticación se realice contra un repositorio externo de credenciales, como podría ser el caso de un directorio activo, una base de datos, un directorio LDAP o un portal cautivo. La integración de la autenticación WPA(2) - Enterprise con un servicio RADIUS que emplee alguno de los almacenes de credenciales citados anteriormente, puede posibilitar el abuso de funcionalidad y que sea utilizado por parte de usuarios para realizar ataques de fuerza bruta que resulten en el bloqueo de las cuentas de usuario debido a la arquitectura propia del repositorio de credenciales o a su configuración.


Prueba

Es factible realizar las pruebas a mano en busca de algún tipo de mensaje de error que indique que una cuenta ha sido bloqueada. También se puede hacer uso de herramientas automáticas como Hydra-THC, que permiten llevar a cabo ataques de fuerza bruta sobre diferentes tipos de autenticación.


Recomendaciones

Establecer alguna medida de protección estilo IDS/IPS o Firewall, que bloquee determinadas peticiones o los dispositivos que las realizan. También es una buena idea implementar algún tipo de contador de tiempo que impida peticiones de acceso que aumente de forma incremental por cada error.


Referencias