4 - Trusts relationships

¿Qué son las "Trusts" en Active Directory?

Una trust (o "relación de confianza") es un vínculo entre dos dominios o bosques que permite a los usuarios autenticarse y acceder a recursos en un dominio diferente al que pertenece su cuenta. En otras palabras, interconecta los sistemas de autenticación de ambos entornos para que puedan reconocerse mutuamente.

Esto es útil en organizaciones grandes, fusiones de empresas o escenarios donde se necesita colaboración entre dominios distintos.

¿Dónde se aplican?

Las trusts pueden establecerse entre:

• Dominios dentro del mismo bosque (ej. dominio padre e hijo)

• Dominios de diferentes bosques

• Bosques enteros entre sí

Tipos de trusts en Active Directory

|  Tipo de Trust |  Descripción                                                                                                                                                                                                     |
| -------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| Parent-Child   | Se crea automáticamente entre un dominio padre y su hijo en el mismo bosque. Es **bidireccional** y **transitiva**.                                                                                                |
| Tree-Root      | Une el dominio raíz de un nuevo árbol con el dominio raíz del bosque existente. También es **bidireccional** y **transitiva**.                                                                                     |
| Cross-Link     | Une dos dominios dentro del mismo bosque que no están directamente relacionados jerárquicamente, para **agilizar la autenticación**.                                                                               |
| Forest Trust   | Establece una confianza **transitiva** entre **dos bosques completos**. Se usa cuando se requiere acceso entre dominios en distintos bosques.                                                                      |
| External Trust | Conecta **dos dominios de distintos bosques** sin relación previa. Es **no transitiva**, útil para compatibilidad con dominios antiguos o entornos aislados. Utiliza **filtrado de SID** como medida de seguridad. |

Tipos de relaciones

1. Transitiva:

   • El dominio A confía en el dominio B, y B confía en C → A también confía en C.

   • Se hereda la confianza a lo largo de la cadena.

2. No transitiva:

   • La confianza solo aplica entre los dos dominios involucrados.

   • No se propaga ni se hereda.

3. Bidireccional (two-way):

   • Ambos dominios confían mutuamente.

   • Los usuarios de cualquiera de los dos pueden acceder a recursos del otro.

4. Unidireccional (one-way):

   • Solo un dominio confía en el otro.

   • Solo los usuarios del dominio confiado pueden acceder al dominio que confía, no al revés.

   • Ejemplo: El dominio A confía en B → usuarios de B acceden a A, pero no al revés.

+------------------------+------------------------+------------------------------+--------------------+
|      Tipo de Trust     |   Ambientes Conectados |   Dirección de Acceso        |   Transitiva       |
+------------------------+------------------------+------------------------------+--------------------+
| Parent-Child           | Mismo bosque           | A ⇄ B                        | Sí (hereda acceso) |
| Tree-Root              | Mismo bosque           | A ⇄ B                        | Sí                 |
| Cross-Link             | Mismo bosque           | A ⇄ B                        | Sí (optimiza ruta) |
| Forest Trust           | Bosques distintos      | A ⇄ B                        | Sí                 |
| External Trust         | Bosques distintos      | A → B  o  B → A              | No                 |
| One-Way Trust          | Cualquier entorno      | A → B  (solo A accede a B)   | Depende del tipo   |
| Two-Way Trust          | Cualquier entorno      | A ⇄ B                        | Depende del tipo   |
+------------------------+------------------------+-----------------------------+---------------------+

🡒 Referencia:
- "A → B" = Usuarios del dominio A pueden acceder a recursos en el dominio B
- "A ⇄ B" = Acceso bidireccional entre dominios
- "Transitiva" = La confianza se propaga a otros dominios vinculados indirectamente

Consideraciones de seguridad

Aunque las trusts son herramientas potentes para conectar entornos, también pueden introducir riesgos importantes si no se gestionan correctamente:

• Configuraciones incorrectas pueden abrir caminos de ataque no deseados.

• En escenarios de fusiones o adquisiciones, es común heredar trusts bidireccionales sin revisar su seguridad.

• Un atacante podría explotar una trust mal configurada para:

  • Lanzar un Kerberoasting en otro dominio del bosque.

  • Obtener credenciales elevadas válidas en el dominio principal.

  • Ejecutar movimientos laterales o comprometer controladores de dominio.

Ejemplo gráfico de los tipos de trust