Auditoria y Securización del Departamento Informática - Manual técnico
Introducción
Debido a los fallos de configuración y vulnerabilidades obtenidas durante la realización de la Auditoría de Seguridad del Departamento de Informática, hemos optado por diseñar una infraestructura virtual que mitigue todos estos fallos y aplique soluciones de seguridad.
En esta nueva infraestructura hemos optado por centralizar los siguientes servicios en servidores Windows:
- Servidor de Dominio y Active Directory
- Servidor DNS
- Servicio DFS
- Servicio Replicación DFS
A parte de estas mejoras al centralizar los siguientes servicios en Windows, se ha optado por instalar un servidor PFsense para establecer el servicio de Portal Cautivo y así tener implementado un factor de autenticación en la Red.
También se ha desarrollado una configuración virtual en un Packet Tracer para todo lo que refiere a Networking en la red y entrar mas a fondo a la configuración de VLAN's y subinterfaces del router.
Esquema de la Infraestructura
Inventario de la Infraestructura
La infraestructura del departamento está formada por los siguientes servidores, en la tabla mostramos el nombre, dirección IP ,servicios y roles de cada servidor.
Servidor | IP | Roles y Servicios |
AD1 | 192.168.0.1 |
|
AD2 | 192.168.0.2 |
|
PFsense | Interfaz WAN: 172.16.0.1
Interfaz LAN: 192.168.0.3 |
|
Router | 172.16.0.254 |
|
Servidor AD1
Active Directory y Dominio
Instalación servicio Active Directory y Dominio
Primero de todo deberemos instalar los roles de Servicios de dominio de Active Directory en el AD1.
Seleccionamos el rol e instalaremos.
Finalizamos la instalación y ya dispondremos del rol disponible para la posterior configuración del dominio.
Creación del Dominio
Una vez finalizada la instalación pasaremos a promover el servidor a controlador de dominio.
Podremos ver una notificación en el icono de la banderita, accediendo a este nos saldrá un aviso para promover-lo.
Crearemos un nuevo bosque llamado et.local
Estableceremos el nivel funcional del dominio a Windows Server 2012.
Los siguientes pasos serán con la configuración por defecto y finalizaremos el proceso.
Al acabar de instalarse todo, el servidor se reiniciará y como podremos ver ya iniciaremos sesión como usuario de dominio.
Unidades Organizativas
También veremos que ya podremos acceder al menú de Usuarios y equipos de Active Directory.
Crearemos una unidad organizativa por cada aula, las aulas de clases tendran un usuario de prueba cada una mientras que la UO de la sala de departament dentro tendrá los respectivos usuarios o equipos de los servidores en esta.
Unidad organizativa Sala del Departamento de Informática
Unidad organizativa ejemplo de una Aula
Servicio DNS
Configuración
Posteriormente a agregar los roles de servicios de Dominio de Active Directory nos dirigiremos a “Herramientas” y dentro de ellas a “DNS”. (Ya estará instalado).
Zonas Directas
Nos dispondremos a crear hosts para que cada servidor tenga su nombre asociado en un registro del DNS.
Para crear un registro A (el que necesitamos para asignar un nombre) daremos click derecho en la zona de búsqueda directa de nuestro dominio, y usaremos la opción “Host nuevo (A o AAAA)...” .
Dentro de esto asignaremos un nombre para el host y especificaremos su dirección IP.
Y ya se habrá agregado el registro del nombre del host correctamente.
En la imagen vemos ya todos los registros A para cada servidor o host destacable de nuestra infraestructura de red.
Zonas Inversas
Teniendo ya la zona directa correctamente configurada al realizar la resolución de un nombre nos responderá con su respectiva dirección IP.
En cambio si queremos que al realizar una resolución de una ip nos devuelva un nombre deberemos configurar la Zona Inversa.
Para crear-la deberemos dirigirnos a las “Zonas de búsqueda Inversas” , dentro de aquí daremos click derecho y crearemos una nueva “Zona Principal”.
Será una zona de búsqueda inversa para IPv4, ya que en nuestra red no usamos IPv6.
Introduciremos nuestra máscara de red.
Ahora ya tendremos creada la Zona inversa y deberemos crear registros PTR para cada host. Definiremos la IP del host y seleccionaremos el registro A ya creado en la Zona Directa para asociarlo al registro PTR.
Repetiremos este proceso para cada host.
Comprobación DNS
Para comprobar el correcto funcionamiento de la resolución directa e inversa realizaremos un comando nslookup.
Zona Directa
Zona Inversa
Servicio DFS
Un DFS es un sistema de archivos distribuido que se utiliza para compartir archivos, impresoras y otros recursos. Nosotros crearemos un sistema DFS en el Active Directory 1 para poder compartir carpetas con todos los usuarios que estén dentro del AD e integrar todas las carpetas compartidas en la red del dominio en una sola ruta.
Instalación y configuración DFS
Lo primero que tenemos que hacer es instalar en el AD los roles de espacio de nombres DFS y replicación DFS.
Una vez instalado, tenemos que ir a Administración de DFS y crear un nuevo espacio de nombre.
Tenemos que especificar el nombre del servidor donde crearemos el espacio de nombres, en nuestro caso se llama ad1.
Ahora tenemos que especificar el nombre que le pondremos que será DFS_Informatica.
Ahora seleccionaremos que tipo de espacio de nombres queremos crear. Utilizaremos la opción de espacio de nombres basado en dominio ya que utilizaremos los servicios de dominio del Active Directory.
Y por último le damos a crear y ya estaría.
Ahora crearemos una carpeta que llamaremos Recursos dentro del espacio de nombres creado anteriormente y la compartiremos con los usuarios que están en el Active Directory.
Ahora le damos permisos para que los usuarios del AD puedan acceder y añadir archivos a la carpeta Recursos.
Ahora iremos a una máquina cliente y accederemos para comprobar que se ha creado correctamente.
Servidor AD2
Soporte del DFS
PFsense
Vamos a configurar un portal cautivo con PFsense para que solo usuarios autenticados puedan acceder a la red.
Para realizar esta configuración usaremos un PFsense con dos interfaces de red, una estará en el mismo rango que los servidores y LAN, mientras que la otra estará en el rango del router. Por lo tanto todos los clientes y servidores saldrán a internet a partir del PFsense.
Para configurar el portal cautivo necesitaremos que el PFsense tenga el servicio dhcp en la interfaz de la LAN.
Resumen
WAN: 172.16.0.1/24
LAN: 192.168.0.3/24
Servicio DHCP
Primero de todo nos fijamos en la dirección IP que hemos asignado en la interfaz LAN de nuestro PFsense, ya que será la ip por la cual podremos acceder a la configuración web del PFsense.
Accedemos por la ip en cuestión…
Ahora accederemos al menú de “Services” y al servicio “DHCP server”.
Nosotros necesitamos habilitar el servicio en la interfaz en la cual vamos a tener activo el portal cautivo, en este caso la interfaz de la LAN.
Deberemos rellenar los siguientes parámetros:
1. Enable: Marcaremos la casilla para habilitar el servicio.
2. Subnet: Especificaremos la subred del direccionamiento por dhcp.
3. Subnet Mask: Especificaremos la máscara de la subred.
4. Avalaible Range: Especificaremos el rango de IPs a conceder.
A continuación asignaremos los servidores DNS que se darán en las concesiones de direccionamiento.
En nuestro caso:
1. IP: 192.168.0.1 (IP respectiva a nuestro DNS local y controlador de dominio).
2. IP: 8.8.8.8 (IP DNS de google por si la primera fallase).
Especificamos el gateway que se dará con la concesión dhcp.
En este caso la IP 192.168.0.3 respectiva a la interfaz del PFsense en la LAN.
Una vez configurado todo esto, ya finalizamos la configuración del servicio DHCP.
Portal Cautivo
Posteriormente a la configuración de el servicio DHCP para la interfaz de la LAN procederemos a configurar el servicio de Portal Cautivo el cual se encuentra en “Services” y “Captive Portal”.
Para empezar con la configuración deberemos crear una nueva Zona de Portal Cautivo.
Asignamos un nombre y una descripción.
Habilitamos el Portal Cautivo y seleccionamos la interfaz a la cual se aplicará el portal cautivo para los clientes.
Como servidor de autenticación escogemos “Local Database”, esto indica que los usuarios con los que nos autenticamos serán usuarios creados en PFsense.
También habilitamos la opción “Allow only users with ‘Captive portal login’ privilege set”, que sirve para que solo usuarios con ese permisos sirvan para autenticarse en el Portal Cautivo.
Y ya se habrá creado correctamente la Zona de Portal Cautivo.
Integración Portal Cautivo con Active Directory
Ya tenemos creado y operativo el Portal Cautivo con PFsense, pese a esto aún no es del todo práctico, ya que solo podrán acceder los usuarios que demos de alta en la lista de usuarios de PFsense local con el permiso de login en el Portal Cautivo.
Nosotros lo integraremos con los usuarios de nuestro dominio et.local para que nuestros usuarios del dominio puedan autenticarse en el portal con las mismas credenciales que usan para realizar login en el dominio.
Primero de todo para integrar el dominio con PFsense nos dirigiremos al menú “System”, posteriormente a “User Management” y finalmente a “Authentication Servers”.
Especificaremos un nombre descriptivo para el servidor de autenticación y especificaremos su tipo, en este caso “LDAP”.
Ahora deberemos configurar los siguientes parámetros:
Hostname or IP address: 192.168.0.1
Search scope, Level: Entire Subtree
Base DN: DC=et,DC=local (Nuestro dominio et.local)
Authentication Containers:
En este parámetro deberemos especificar toda la ruta lógica respecto al árbol del dominio del usuario con el que se autenticará el pfsense para agregar el Servidor de Autenticación. En este caso es: CN=Users,DC=et,DC=local
Extended query: Habilitamos la opción.
Query: Especificaremos lo mismo que en Authentication Containers pero añadiendo memberOf= al inicio. (memberOf=CN=Users,DC=et,DC=local).
Bind Anonymous: Deshabilitamos la opción.
Bind Credentials: Especificamos un usuario y password del dominio.
User Naming Attribute: Especificamos "samAccountName".
Después de rellenar todos los parámetros anteriores, haremos click en el botón de "Select a Container". Esto nos permitirá seleccionar los contenedores de Usuarios y Equipos de Active Directory que habilitaremos para la autenticación.
En nuestro caso seleccionaremos todos los que se nos muestran, ya que así estarán disponibles para autenticarse todos los usuarios dentro de estos.
EL parametro Authentication Containers quedará tal que así después de seleccionar los contenedores.
Solo nos quedará editar el parámetro Group Member Attribute y poner "memberOf"
Extraer la ruta del árbol del dominio de un usuario
Primero de todo crearemos un usuario para este propósito únicamente. (Autenticar el pfsense en el Active Directory)
Después de haberlo creado dentro de Usuarios y equipos de Active Directory, marcaremos la opción de Características avanzadas dentro del menú Ver.
Ahora accederemos a las propiedades del usuario anteriormente creado y ya dispondremos de opciones avanzadas que poder consultar.
En nuestro caso deberemos acceder al menú de “Editor de atributos” y luego “distinguishedName”, el valor de este parámetro será la ruta del árbol del dominio a especificar en el PFsense.
Configuración del dominio como Autenticación dentro del portal cautivo
Ahora dentro del apartado de “Autenticación” en la zona del portal cautivo deberemos especificar como servidor de autenticación a nuestro Dominio configurado anteriormente, pese a tener el dominio como servidor de autenticación también especificaremos un segundo servidor de autenticación en este caso el PFsense con su base de datos local por si el primer servidor no estuviese disponible poder seguir accediendo a la red.
Comprobación
Como hemos visto en los apartados de configuración del portal cautivo tenemos varios métodos de autenticación posibles.
- Authentication Backend: Servidor o base de datos con usuarios disponibles.
- None Authentication: El usuario simplemente deberá aceptar un botón submit para navegar.
- Radius MAC: Los usuarios no deberán realizar ninguna acción ya que la autenticación es por direcciones MAC.
Nosotros utilizaremos la opción de "Authentication Backend" ya que iniciaremos sesión con usuarios locales de PFsense o con usuarios de dominio de Active Directory.
Comprobación Portal Cautivo con Usuarios Locales
Al acceder desde cualquier cliente configurado con dhcp dentro de la red LAN a un navegador se nos redirigirá a una pagina para iniciar sesión en el portal cautivo o en algunos casos nos saldrá un aviso en el navegador para iniciar sesión(Es nuestro caso).
Al abrir el botón nos redirigirá a una pagina para iniciar sesión Como podemos observar en el formulario tenemos 4 campos posibles a rellenar, cada par es un método de autenticación distinto.
- Base de datos local de usuarios de PFsense
- Usuarios de dominio et.local
Iniciaremos sesión y nos saldrá un aviso en el que pondrá "sucess".
Comprobación Portal Cautivo con Usuarios de Active Directory
Para la conexión con usuarios de Active Directory será exactamente el mismo proceso, pero en vez de rellenar el usuario en el primer par de los campos del formularios rellenaremos el segundo par.
Pese a toda la configuración realizada correctamente y bien revisada, hemos sido incapaces de hacer funcionar el sistema de autenticación integrado con Active Directory.
Nueva Infraestructura de red
Para la nueva infraestructura de red para todo el Departament d'Informatica, incluido las aulas,hemos optado por utilizar VLAN's para segmentar la red. Una VLAN por cada aula, incluida la aula de los profesores, donde se encuentran alojados los servidores.
Cada Aula cuenta con su propio Switch y todos estan agrupados en un Switch central, el cual se une al Router del PfSense a través de una linia troncal.