Auditoria y Securización del Departamento Informática - Manual técnico

De Wiket
Salta a la navegació Salta a la cerca

Introducción

Debido a los fallos de configuración y vulnerabilidades obtenidas durante la realización de la Auditoría de Seguridad del Departamento de Informática, hemos optado por diseñar una infraestructura virtual que mitigue todos estos fallos y aplique soluciones de seguridad.

En esta nueva infraestructura hemos optado por centralizar los siguientes servicios en servidores Windows:

  • Servidor de Dominio y Active Directory
  • Servidor DNS
  • Servicio DFS
  • Servicio Replicación DFS

A parte de estas mejoras al centralizar los siguientes servicios en Windows, se ha optado por instalar un servidor PFsense para establecer el servicio de Portal Cautivo y así tener implementado un factor de autenticación en la Red.

También se ha desarrollado una configuración virtual en un Packet Tracer para todo lo que refiere a Networking en la red y entrar mas a fondo a la configuración de VLAN's y subinterfaces del router.

Esquema de la Infraestructura

Esquema1 adt.png

Inventario de la Infraestructura

La infraestructura del departamento está formada por los siguientes servidores, en la tabla mostramos el nombre, dirección IP ,servicios y roles de cada servidor.


Servidor IP Roles y Servicios
AD1 192.168.0.1
  • Servidor de Dominio y Active Directory
  • Servidor DNS
  • Servidor DFS
AD2 192.168.0.2
  • Replicación DFS
PFsense Interfaz WAN: 172.16.0.1

Interfaz LAN: 192.168.0.3

  • Servidor DHCP
  • Portal Cautivo
Router 172.16.0.254
  • VLAN's


Servidor AD1

Active Directory y Dominio

Instalación servicio Active Directory y Dominio

Primero de todo deberemos instalar los roles de Servicios de dominio de Active Directory en el AD1.
Seleccionamos el rol e instalaremos.

Addept1.png


Finalizamos la instalación y ya dispondremos del rol disponible para la posterior configuración del dominio.

Creación del Dominio

Una vez finalizada la instalación pasaremos a promover el servidor a controlador de dominio.

Podremos ver una notificación en el icono de la banderita, accediendo a este nos saldrá un aviso para promover-lo.

Addept2.png


Crearemos un nuevo bosque llamado et.local

Addept3.png


Estableceremos el nivel funcional del dominio a Windows Server 2012.

Addept4.png

Los siguientes pasos serán con la configuración por defecto y finalizaremos el proceso.

Al acabar de instalarse todo, el servidor se reiniciará y como podremos ver ya iniciaremos sesión como usuario de dominio.

Addept5.png

Unidades Organizativas

También veremos que ya podremos acceder al menú de Usuarios y equipos de Active Directory.

Addept6.png


Crearemos una unidad organizativa por cada aula, las aulas de clases tendran un usuario de prueba cada una mientras que la UO de la sala de departament dentro tendrá los respectivos usuarios o equipos de los servidores en esta.


Unidad organizativa Sala del Departamento de Informática

Uo1.png


Unidad organizativa ejemplo de una Aula

Uo2.png

Servicio DNS

Configuración

Posteriormente a agregar los roles de servicios de Dominio de Active Directory nos dirigiremos a “Herramientas” y dentro de ellas a “DNS”. (Ya estará instalado).

Zonas Directas

Nos dispondremos a crear hosts para que cada servidor tenga su nombre asociado en un registro del DNS.

Para crear un registro A (el que necesitamos para asignar un nombre) daremos click derecho en la zona de búsqueda directa de nuestro dominio, y usaremos la opción “Host nuevo (A o AAAA)...” .

Addept7.png



Dentro de esto asignaremos un nombre para el host y especificaremos su dirección IP.

Addept8.png

Y ya se habrá agregado el registro del nombre del host correctamente.

En la imagen vemos ya todos los registros A para cada servidor o host destacable de nuestra infraestructura de red.

Addept9.png

Zonas Inversas

Teniendo ya la zona directa correctamente configurada al realizar la resolución de un nombre nos responderá con su respectiva dirección IP.

En cambio si queremos que al realizar una resolución de una ip nos devuelva un nombre deberemos configurar la Zona Inversa.

Para crear-la deberemos dirigirnos a las “Zonas de búsqueda Inversas” , dentro de aquí daremos click derecho y crearemos una nueva “Zona Principal”.

Addept10.png

Será una zona de búsqueda inversa para IPv4, ya que en nuestra red no usamos IPv6.

Addept11ng.png

Introduciremos nuestra máscara de red.

Addept12.png

Ahora ya tendremos creada la Zona inversa y deberemos crear registros PTR para cada host. Definiremos la IP del host y seleccionaremos el registro A ya creado en la Zona Directa para asociarlo al registro PTR.

Addept13.png

Repetiremos este proceso para cada host.

Addept14.png

Comprobación DNS

Para comprobar el correcto funcionamiento de la resolución directa e inversa realizaremos un comando nslookup.

Zona Directa

Addept15.png

Zona Inversa

Addept16.png

Servicio DFS

Un DFS es un sistema de archivos distribuido que se utiliza para compartir archivos, impresoras y otros recursos. Nosotros crearemos un sistema DFS en el Active Directory 1 para poder compartir carpetas con todos los usuarios que estén dentro del AD e integrar todas las carpetas compartidas en la red del dominio en una sola ruta.

Instalación y configuración DFS

Lo primero que tenemos que hacer es instalar en el AD los roles de espacio de nombres DFS y replicación DFS.

1.png



Una vez instalado, tenemos que ir a Administración de DFS y crear un nuevo espacio de nombre.

2.png



Tenemos que especificar el nombre del servidor donde crearemos el espacio de nombres, en nuestro caso se llama ad1.

3.png



Ahora tenemos que especificar el nombre que le pondremos que será DFS_Informatica.

4.png



Ahora seleccionaremos que tipo de espacio de nombres queremos crear. Utilizaremos la opción de espacio de nombres basado en dominio ya que utilizaremos los servicios de dominio del Active Directory.

5.png



Y por último le damos a crear y ya estaría.

6.png


7.png



Ahora crearemos una carpeta que llamaremos Recursos dentro del espacio de nombres creado anteriormente y la compartiremos con los usuarios que están en el Active Directory.

8.png



Ahora le damos permisos para que los usuarios del AD puedan acceder y añadir archivos a la carpeta Recursos.

10.png


11.png



Ahora iremos a una máquina cliente y accederemos para comprobar que se ha creado correctamente.

12.png


13.png

Servidor AD2

Servicio Replicación DFS

PFsense

Vamos a configurar un portal cautivo con PFsense para que solo usuarios autenticados puedan acceder a la red.

Para realizar esta configuración usaremos un PFsense con dos interfaces de red, una estará en el mismo rango que los servidores y LAN, mientras que la otra estará en el rango del router. Por lo tanto todos los clientes y servidores saldrán a internet a partir del PFsense.

Para configurar el portal cautivo necesitaremos que el PFsense tenga el servicio dhcp en la interfaz de la LAN.

Resumen

WAN: 172.16.0.1/24
LAN: 192.168.0.3/24


Servicio DHCP

Primero de todo nos fijamos en la dirección IP que hemos asignado en la interfaz LAN de nuestro PFsense, ya que será la ip por la cual podremos acceder a la configuración web del PFsense.

Pf 1.png



Accedemos por la ip en cuestión…

Pf 2.png



Ahora accederemos al menú de “Services” y al servicio “DHCP server”.

Pf 3.png



Nosotros necesitamos habilitar el servicio en la interfaz en la cual vamos a tener activo el portal cautivo, en este caso la interfaz de la LAN.

Deberemos rellenar los siguientes parámetros:

1. Enable: Marcaremos la casilla para habilitar el servicio.
2. Subnet: Especificaremos la subred del direccionamiento por dhcp.
3. Subnet Mask: Especificaremos la máscara de la subred.
4. Avalaible Range: Especificaremos el rango de IPs a conceder.

Pf 4.png



A continuación asignaremos los servidores DNS que se darán en las concesiones de direccionamiento.

En nuestro caso:

1. IP: 192.168.0.1 (IP respectiva a nuestro DNS local y controlador de dominio).
2. IP: 8.8.8.8 (IP DNS de google por si la primera fallase).

Pf 5.png



Especificamos el gateway que se dará con la concesión dhcp.

En este caso la IP 192.168.0.3 respectiva a la interfaz del PFsense en la LAN.

Pf 6.png



Una vez configurado todo esto, ya finalizamos la configuración del servicio DHCP.

Portal Cautivo

Posteriormente a la configuración de el servicio DHCP para la interfaz de la LAN procederemos a configurar el servicio de Portal Cautivo el cual se encuentra en “Services” y “Captive Portal”.

Pf 7.png



Para empezar con la configuración deberemos crear una nueva Zona de Portal Cautivo.

Pf 8.png



Asignamos un nombre y una descripción.

Pf 9.png



Habilitamos el Portal Cautivo y seleccionamos la interfaz a la cual se aplicará el portal cautivo para los clientes.

Pf 10.png



Como servidor de autenticación escogemos “Local Database”, esto indica que los usuarios con los que nos autenticamos serán usuarios creados en PFsense.

También habilitamos la opción “Allow only users with ‘Captive portal login’ privilege set”, que sirve para que solo usuarios con ese permisos sirvan para autenticarse en el Portal Cautivo.

Pf 11.png



Y ya se habrá creado correctamente la Zona de Portal Cautivo.

Pf 12.png

Integración Portal Cautivo con Active Directory

Ya tenemos creado y operativo el Portal Cautivo con PFsense, pese a esto aún no es del todo práctico, ya que solo podrán acceder los usuarios que demos de alta en la lista de usuarios de PFsense local con el permiso de login en el Portal Cautivo.

Nosotros lo integraremos con los usuarios de nuestro dominio et.local para que nuestros usuarios del dominio puedan autenticarse en el portal con las mismas credenciales que usan para realizar login en el dominio.

Primero de todo para integrar el dominio con PFsense nos dirigiremos al menú “System”, posteriormente a “User Management” y finalmente a “Authentication Servers”.

Pf 13.png



Especificaremos un nombre descriptivo para el servidor de autenticación y especificaremos su tipo, en este caso “LDAP”.

Pf 14.png



Ahora deberemos configurar los siguientes parámetros:

Hostname or IP address: 192.168.0.1
Search scope, Level: Entire Subtree
Base DN: DC=et,DC=local (Nuestro dominio et.local)
Authentication Containers:
En este parámetro deberemos especificar toda la ruta lógica respecto al árbol del dominio del usuario con el que se autenticará el pfsense para agregar el Servidor de Autenticación.

Pf 15.png




Extraer la ruta del árbol del dominio de un usuario


Primero de todo crearemos un usuario para este propósito únicamente.

Pf 16.png



Después de haberlo creado dentro de Usuarios y equipos de Active Directory, marcaremos la opción de Características avanzadas dentro del menú Ver.

Pf 17.png



Ahora accederemos a las propiedades del usuario anteriormente creado y ya dispondremos de opciones avanzadas que poder consultar.

En nuestro caso deberemos acceder al menú de “Editor de atributos” y luego “distinguishedName”, el valor de este parámetro será la ruta del árbol del dominio a especificar en el PFsense.

Pf 18.png



Configuración del dominio como Autenticación dentro del portal cautivo

Ahora dentro del apartado de “Autenticación” en la zona del portal cautivo deberemos especificar como servidor de autenticación a nuestro Dominio configurado anteriormente, pese a tener el dominio como servidor de autenticación también especificaremos un segundo servidor de autenticación en este caso el PFsense con su base de datos local por si el primer servidor no estuviese disponible poder seguir accediendo a la red.

Pf 19.png

Comprovación Portal Cautivo con Usuarios Locales

Como hemos visto en los apartados de configuración del portal cautivo tenemos varios métodos de autenticación posibles.

  • Authentication Backend: Servidor o base de datos con usuarios disponibles.
  • None Authentication: El usuario simplemente deberá aceptar un botón submit para navegar.
  • Radius MAC: Los usuarios no deberán realizar ninguna acción ya que la autenticación es por direcciones MAC.

Comprovación Portal Cautivo con Usuarios de Active Directory