Auditoria y Securización del Departamento Informática - Manual técnico

Introducción

Debido a los fallos de configuración y vulnerabilidades obtenidas durante la realización de la Auditoría de Seguridad del Departamento de Informática, hemos optado por diseñar una infraestructura virtual que mitigue todos estos fallos y aplique soluciones de seguridad.

En esta nueva infraestructura hemos optado por centralizar los siguientes servicios en servidores Windows:

• Servidor de Dominio y Active Directory
• Servidor DNS
• Servicio DFS
• Servicio Replicación DFS

A parte de estas mejoras al centralizar los siguientes servicios en Windows, se ha optado por instalar un servidor PFsense para establecer el servicio de Portal Cautivo y así tener implementado un factor de autenticación en la Red.

También se ha desarrollado una configuración virtual en un Packet Tracer para todo lo que refiere a Networking en la red y entrar mas a fondo a la configuración de VLAN's y subinterfaces del router.

Esquema de la Infraestructura

Inventario de la Infraestructura

La infraestructura del departamento está formada por los siguientes servidores, en la tabla mostramos el nombre, dirección IP ,servicios y roles de cada servidor.

Servidor	IP	Roles y Servicios
AD1	192.168.0.1	Servidor de Dominio y Active Directory Servidor DNS Servidor DFS
AD2	192.168.0.2	Soporte del DFS
PFsense	Interfaz WAN: 172.16.0.1 Interfaz LAN: 192.168.0.3	Servidor DHCP Portal Cautivo
Router	172.16.0.254	VLAN's

Servidor AD1

Active Directory y Dominio

Instalación servicio Active Directory y Dominio

Primero de todo deberemos instalar los roles de Servicios de dominio de Active Directory en el AD1.
Seleccionamos el rol e instalaremos.

Finalizamos la instalación y ya dispondremos del rol disponible para la posterior configuración del dominio.

Creación del Dominio

Una vez finalizada la instalación pasaremos a promover el servidor a controlador de dominio.

Podremos ver una notificación en el icono de la banderita, accediendo a este nos saldrá un aviso para promover-lo.

Crearemos un nuevo bosque llamado et.local

Estableceremos el nivel funcional del dominio a Windows Server 2012.

Los siguientes pasos serán con la configuración por defecto y finalizaremos el proceso.

Al acabar de instalarse todo, el servidor se reiniciará y como podremos ver ya iniciaremos sesión como usuario de dominio.

Unidades Organizativas

También veremos que ya podremos acceder al menú de Usuarios y equipos de Active Directory.

Crearemos una unidad organizativa por cada aula, las aulas de clases tendran un usuario de prueba cada una mientras que la UO de la sala de departament dentro tendrá los respectivos usuarios o equipos de los servidores en esta.

Unidad organizativa Sala del Departamento de Informática

Unidad organizativa ejemplo de una Aula

Servicio DNS

Configuración

Posteriormente a agregar los roles de servicios de Dominio de Active Directory nos dirigiremos a “Herramientas” y dentro de ellas a “DNS”. (Ya estará instalado).

Zonas Directas

Nos dispondremos a crear hosts para que cada servidor tenga su nombre asociado en un registro del DNS.

Para crear un registro A (el que necesitamos para asignar un nombre) daremos click derecho en la zona de búsqueda directa de nuestro dominio, y usaremos la opción “Host nuevo (A o AAAA)...” .

Dentro de esto asignaremos un nombre para el host y especificaremos su dirección IP.

Y ya se habrá agregado el registro del nombre del host correctamente.

En la imagen vemos ya todos los registros A para cada servidor o host destacable de nuestra infraestructura de red.

Zonas Inversas

Teniendo ya la zona directa correctamente configurada al realizar la resolución de un nombre nos responderá con su respectiva dirección IP.

En cambio si queremos que al realizar una resolución de una ip nos devuelva un nombre deberemos configurar la Zona Inversa.

Para crear-la deberemos dirigirnos a las “Zonas de búsqueda Inversas” , dentro de aquí daremos click derecho y crearemos una nueva “Zona Principal”.

Será una zona de búsqueda inversa para IPv4, ya que en nuestra red no usamos IPv6.

Introduciremos nuestra máscara de red.

Ahora ya tendremos creada la Zona inversa y deberemos crear registros PTR para cada host. Definiremos la IP del host y seleccionaremos el registro A ya creado en la Zona Directa para asociarlo al registro PTR.

Repetiremos este proceso para cada host.

Comprobación DNS

Para comprobar el correcto funcionamiento de la resolución directa e inversa realizaremos un comando nslookup.

Zona Directa

Zona Inversa

Servicio DFS

Un DFS es un sistema de archivos distribuido que se utiliza para compartir archivos, impresoras y otros recursos. Nosotros crearemos un sistema DFS en el Active Directory 1 para poder compartir carpetas con todos los usuarios que estén dentro del AD e integrar todas las carpetas compartidas en la red del dominio en una sola ruta.

Instalación y configuración DFS

Lo primero que tenemos que hacer es instalar en el AD los roles de espacio de nombres DFS y replicación DFS.

Una vez instalado, tenemos que ir a Administración de DFS y crear un nuevo espacio de nombre.

Tenemos que especificar el nombre del servidor donde crearemos el espacio de nombres, en nuestro caso se llama ad1.

Ahora tenemos que especificar el nombre que le pondremos que será DFS_Informatica.

Ahora seleccionaremos que tipo de espacio de nombres queremos crear. Utilizaremos la opción de espacio de nombres basado en dominio ya que utilizaremos los servicios de dominio del Active Directory.

Y por último le damos a crear y ya estaría.

Ahora crearemos una carpeta que llamaremos Recursos dentro del espacio de nombres creado anteriormente y la compartiremos con los usuarios que están en el Active Directory.

Ahora le damos permisos para que los usuarios del AD puedan acceder y añadir archivos a la carpeta Recursos.

Ahora iremos a una máquina cliente y accederemos para comprobar que se ha creado correctamente.

Servidor AD2

Soporte del DFS

El soporte del DFS en el AD2 lo utilizaremos para crear carpetas en dicho servidor y poder acceder a ellas a través del AD1. De esta manera no saturamos el AD1 con tantas carpetas e información.
Lo primero que tenemos que hacer es en el AD2 crear las carpetas, en nuestro caso crearemos la carpeta Recursos2. Una vez creada nos vamos al AD1 y a Administración de DFS y creamos una carpeta que se llamará igual que la previamente creada en el AD2.

Ahora tenemos que agregar un Destino de carpeta y seleccionamos como servidor el AD2 y después le damos a Nueva carpeta compartida.

Crearemos un nuevo recurso compartido donde indicamos el nombre y la ruta de acceso local de nuestra carpeta que queremos compartir que es Recursos2. También seleccionamos que Todos los usuarios tienen permisos de lectura y escritura y aceptamos.

Para finalizar aceptamos y ya estará hecho el proceso.

Para demostrar que la carpeta que realmente se comparte es la creada en el AD2, crearemos un documento de texto dentro de la carpeta de Recursos2 situada en el AD2.

Ahora desde la máquina cliente accederemos al servidor AD1 con las credenciales correspondientes.

Y como podemos ver, se puede visualizar perfectamente el archivo creado previamente. Esto nos indica que está todo perfectamente realizado. Los usuarios pueden visualizar en el servidor AD1 los archivos que estén dentro de la carpeta de Recursos2 en el servidor AD2.

PFsense

Vamos a configurar un portal cautivo con PFsense para que solo usuarios autenticados puedan acceder a la red.

Para realizar esta configuración usaremos un PFsense con dos interfaces de red, una estará en el mismo rango que los servidores y LAN, mientras que la otra estará en el rango del router. Por lo tanto todos los clientes y servidores saldrán a internet a partir del PFsense.

Para configurar el portal cautivo necesitaremos que el PFsense tenga el servicio dhcp en la interfaz de la LAN.

Resumen

WAN: 172.16.0.1/24
LAN: 192.168.0.3/24

Servicio DHCP

Primero de todo nos fijamos en la dirección IP que hemos asignado en la interfaz LAN de nuestro PFsense, ya que será la ip por la cual podremos acceder a la configuración web del PFsense.

Accedemos por la ip en cuestión…

Ahora accederemos al menú de “Services” y al servicio “DHCP server”.

Nosotros necesitamos habilitar el servicio en la interfaz en la cual vamos a tener activo el portal cautivo, en este caso la interfaz de la LAN.

Deberemos rellenar los siguientes parámetros:

1. Enable: Marcaremos la casilla para habilitar el servicio.
2. Subnet: Especificaremos la subred del direccionamiento por dhcp.
3. Subnet Mask: Especificaremos la máscara de la subred.
4. Avalaible Range: Especificaremos el rango de IPs a conceder.

A continuación asignaremos los servidores DNS que se darán en las concesiones de direccionamiento.

En nuestro caso:

1. IP: 192.168.0.1 (IP respectiva a nuestro DNS local y controlador de dominio).
2. IP: 8.8.8.8 (IP DNS de google por si la primera fallase).

Especificamos el gateway que se dará con la concesión dhcp.

En este caso la IP 192.168.0.3 respectiva a la interfaz del PFsense en la LAN.

Una vez configurado todo esto, ya finalizamos la configuración del servicio DHCP.

Portal Cautivo

Posteriormente a la configuración de el servicio DHCP para la interfaz de la LAN procederemos a configurar el servicio de Portal Cautivo el cual se encuentra en “Services” y “Captive Portal”.

Para empezar con la configuración deberemos crear una nueva Zona de Portal Cautivo.

Asignamos un nombre y una descripción.

Habilitamos el Portal Cautivo y seleccionamos la interfaz a la cual se aplicará el portal cautivo para los clientes.

Como servidor de autenticación escogemos “Local Database”, esto indica que los usuarios con los que nos autenticamos serán usuarios creados en PFsense.

También habilitamos la opción “Allow only users with ‘Captive portal login’ privilege set”, que sirve para que solo usuarios con ese permisos sirvan para autenticarse en el Portal Cautivo.

Y ya se habrá creado correctamente la Zona de Portal Cautivo.

Integración Portal Cautivo con Active Directory

Ya tenemos creado y operativo el Portal Cautivo con PFsense, pese a esto aún no es del todo práctico, ya que solo podrán acceder los usuarios que demos de alta en la lista de usuarios de PFsense local con el permiso de login en el Portal Cautivo.

Nosotros lo integraremos con los usuarios de nuestro dominio et.local para que nuestros usuarios del dominio puedan autenticarse en el portal con las mismas credenciales que usan para realizar login en el dominio.

Primero de todo para integrar el dominio con PFsense nos dirigiremos al menú “System”, posteriormente a “User Management” y finalmente a “Authentication Servers”.

Especificaremos un nombre descriptivo para el servidor de autenticación y especificaremos su tipo, en este caso “LDAP”.

Ahora deberemos configurar los siguientes parámetros:

Hostname or IP address: 192.168.0.1

Search scope, Level: Entire Subtree
Base DN: DC=et,DC=local (Nuestro dominio et.local)
Authentication Containers:
En este parámetro deberemos especificar toda la ruta lógica respecto al árbol del dominio del usuario con el que se autenticará el pfsense para agregar el Servidor de Autenticación. En este caso es: CN=Users,DC=et,DC=local
Extended query: Habilitamos la opción.
Query: Especificaremos lo mismo que en Authentication Containers pero añadiendo memberOf= al inicio. (memberOf=CN=Users,DC=et,DC=local).
Bind Anonymous: Deshabilitamos la opción.
Bind Credentials: Especificamos un usuario y password del dominio.
User Naming Attribute: Especificamos "samAccountName".

Después de rellenar todos los parámetros anteriores, haremos click en el botón de "Select a Container". Esto nos permitirá seleccionar los contenedores de Usuarios y Equipos de Active Directory que habilitaremos para la autenticación.

En nuestro caso seleccionaremos todos los que se nos muestran, ya que así estarán disponibles para autenticarse todos los usuarios dentro de estos.

EL parametro Authentication Containers quedará tal que así después de seleccionar los contenedores.

Solo nos quedará editar el parámetro Group Member Attribute y poner "memberOf"

Extraer la ruta del árbol del dominio de un usuario

Primero de todo crearemos un usuario para este propósito únicamente. (Autenticar el pfsense en el Active Directory)

Después de haberlo creado dentro de Usuarios y equipos de Active Directory, marcaremos la opción de Características avanzadas dentro del menú Ver.

Ahora accederemos a las propiedades del usuario anteriormente creado y ya dispondremos de opciones avanzadas que poder consultar.

En nuestro caso deberemos acceder al menú de “Editor de atributos” y luego “distinguishedName”, el valor de este parámetro será la ruta del árbol del dominio a especificar en el PFsense.

Configuración del dominio como Autenticación dentro del portal cautivo

Ahora dentro del apartado de “Autenticación” en la zona del portal cautivo deberemos especificar como servidor de autenticación a nuestro Dominio configurado anteriormente, pese a tener el dominio como servidor de autenticación también especificaremos un segundo servidor de autenticación en este caso el PFsense con su base de datos local por si el primer servidor no estuviese disponible poder seguir accediendo a la red.

Comprobación

Como hemos visto en los apartados de configuración del portal cautivo tenemos varios métodos de autenticación posibles.

• Authentication Backend: Servidor o base de datos con usuarios disponibles.
• None Authentication: El usuario simplemente deberá aceptar un botón submit para navegar.
• Radius MAC: Los usuarios no deberán realizar ninguna acción ya que la autenticación es por direcciones MAC.

Nosotros utilizaremos la opción de "Authentication Backend" ya que iniciaremos sesión con usuarios locales de PFsense o con usuarios de dominio de Active Directory.

Comprobación Portal Cautivo con Usuarios Locales

Al acceder desde cualquier cliente configurado con dhcp dentro de la red LAN a un navegador se nos redirigirá a una pagina para iniciar sesión en el portal cautivo o en algunos casos nos saldrá un aviso en el navegador para iniciar sesión(Es nuestro caso).

Al abrir el botón nos redirigirá a una pagina para iniciar sesión Como podemos observar en el formulario tenemos 4 campos posibles a rellenar, cada par es un método de autenticación distinto.

1. Base de datos local de usuarios de PFsense
2. Usuarios de dominio et.local

Iniciaremos sesión y nos saldrá un aviso en el que pondrá "sucess".

Comprobación Portal Cautivo con Usuarios de Active Directory

Para la conexión con usuarios de Active Directory será exactamente el mismo proceso, pero en vez de rellenar el usuario en el primer par de los campos del formularios rellenaremos el segundo par.

Pese a toda la configuración realizada correctamente y bien revisada, hemos sido incapaces de hacer funcionar el sistema de autenticación integrado con Active Directory.

Nueva Infraestructura de red

Para la nueva infraestructura de red para todo el Departament d'Informatica, incluido las aulas,hemos optado por utilizar VLAN's para segmentar la red. Una VLAN por cada aula, incluida la aula de los profesores, donde se encuentran alojados los servidores.

Cada aula cuenta con su propio Switch y todos están agrupados en un Switch central, el cual se une al Router del PfSense a través de una linia troncal.

Dentro del Router tenemos creadas la sub-interfiecies, una para cada VLAN, con sus respectivas IP's que hacen de Gateway (Cada aula tiene una Gateway distinta). Para que todas la aulas puedan acceder a los servidores la aula de profesores pero no se puedan ver entre ellas hemos implementado una directiva de ACL's para bloquear el trafico según su origen y destino.