Aislamiento de Servidores en Windows

Estándar

En este artículo podremos aprender cómo aislar servidores en un controlador de dominio, añadiendo cifrado y autenticación de paquetes para asegurar la integridad de los datos y prevenir ataques. Todo ello lo haremos a través de IPSEC.

Escenario

Tenemos un servidor en la empresa A. Este servidor contiene datos críticos de la empresa y sólo necesitan acceso a ellos una serie de equipos. Este servidor ha sufrido varios intentos de ataque por personal interno de la empresa. El consejo directivo ha sido tajante con el asunto. Hay que mantener la integridad de los datos y minimizar el riesgo de otro posible ataque.

El departamento de informática se reune y estudia la situación. El servidor ha sufrido una serie de ataques, entre los que se encuentran:

  • Man in the Middle
  • DOS (Denial Of Service)
  • Monitoreo de Red con Sniffers
  • Batería de Exploits sin certeza de máquina (Han lanzado tanto exploits para Linux como para Windows) Se presupone que es una herramienta tipo metasploit.

La empresa no posee cortafuegos interno, ni una política de seguridad estable. Sus usuarios son todos Administradores.

Debido a las grandes pérdidas ocasionadas por esta serie de problemas, la empresa A decide que ha llegado la hora de securizar la corporación. Pero el servidor crítico tiene que ser securizado YA.

Una empresa externa se encargará de aislar el servidor crítico y formar al departamento de informática en materia de seguridad.

Deciden que la mejor implementación es que los equipos que necesiten acceder a ese servidor, lo hagan a través de IPSEC, y asegurarse de que haya tanto cifrado como integridad de paquetes. La implementación de IPSEC también prevendrá los ataques anteriores.

Parte primera. Asegurarse de que hay comunicación entre los equipos clientes y el servidor de datos.

Nombre del Servidor: SERV2K3FIL01 (Windows 2003)

Equipos: PC001 y PC002

Basado en controlador de dominio Windows 2003.

Dirección IP del Controlador de dominio: 192.168.2.2

De momento no hay establecida ninguna política de restricción. En los equipos cliente estableceremos comunicación con el servidor, tipeando el comando net view

Net view \\SERV2K3FIL01

El servidor nos muestra los ficheros compartidos. Hay comunicación con el servidor.

Segunda parte. Configurar el aislamiento del servidor. Establecer políticas IPSEC.

Una política IPSEC consiste en reglas o filtros y acciones para estas reglas. La unión de ellas determinará si un paquete de datos pasa o no pasa a destino.

Creando una lista de filtros para el aislamiento

En el controlador de dominio vamos a la ruta siguiente:

Inicio à Programas à Herramientas Administrativas à Directiva de seguridad del controlador de dominio

Expandimos la configuración de seguridad y nos dirigimos a Directivas de seguridad en Active Directory, y una vez allí pinchamos con el botón derecho del ratón y pulsamos la opción Administrar listas de filtros IP y acciones de filtrado

SecurityConfig

AdminIpList

Pulsamos en Agregar para crear un nuevo filtro IP.

Acto seguido nos sale el GUI para crear un nuevo filtro IP. Como no vamos a utilizar el asistente, desmarcamos la opción Usar asistente para agregar. Como primera regla vamos a crear la siguiente:

Permitir todo el tráfico entre el controlador de dominio y otras computadoras.

Como nombre vamos a poner Controlador de dominio y como descripción, pondremos el enunciado anterior, para mantener un orden.

Pulsamos en Agregar para configurar las propiedades del filtro.

Dirección de origen:         Mi dirección IP

Dirección de destino:         Dirección IP específica

Nota: Nos cercioraremos de que la opción reflejado está marcada. Nos quedaría de la siguiente forma:

Properties

Pulsamos en Aceptar.

Tenemos nuestro primer filtro!

Añadiremos un segundo filtro. Esta vez para la subred. Crearemos una subred segura.

Nombre del filtro:         Subred Segura

Descripción:    Hacer que coincida el tráfico entre las computadoras y la subred 192.168.2.0

Propiedades del filtro

Dirección de origen:    Mi dirección IP

Dirección de destino:    Una subred IP determinada

Ya tenemos nuestro segundo filtro!

Properties2

 

Tercera parte. Estableciendo acciones de filtrado 

Una acción de filtrado en una política IPSEC, va a determinar cómo se va a negociar la seguridad entre las computadoras a las que les afecten estas reglas. Nos va a permitir tomar decisiones sobre cómo será negociada y por qué medios será negociada.

Para crear una acción de filtrado nos dirigiremos a la pestaña que dice Administrar acciones de filtrado.

AdminIpList2

Como no vamos a utilizar el asistente, desmarcaremos la opción Usar Asistente para agregar. Acto seguido pulsamos la opción Agregar

En la pestaña General y como nombre de la acción de filtrado pondremos Dominio Aislado.

En Descripción pondremos lo siguiente para mantener un orden:

Prohibir comunicación entre equipos aislados y equipos no aislados

En la pestaña métodos de seguridad pulsaremos la opción Agregar y marcaremos la opción Integridad y Cifrado.

Integrity

Cuarta Parte. Asignando la política IPSEC

Pulsaremos con el botón derecho del ratón sobre Directivas de seguridad IP en Active Directory y pulsaremos la opción Crear directiva de seguridad IP

CreateRule

En la pestaña General pondremos como nombre Aislamiento del dominio y en descripción pondremos Proveer al dominio de aislamiento.

Como no vamos a utilizar el asistente, desmarcaremos la opción Usar asistente para agregar y marcaremos la opción Agregar

Planteamiento

En la pestaña Listas de filtros IP marcaremos la opción Controlador de Dominio y en la pestaña Acción de filtrado marcaremos la opción Permitir.

En la pestaña Listas de filtros IP marcaremos la opción Subnet Segura y en la pestaña Acción de filtrado marcaremos la opción Dominio Aislado.

En la pestaña Listas de filtros IP marcaremos la opción All ICMP Traffic y en la pestaña Acción de filtrado marcaremos la opción Permitir.

Nos quedaría lo siguiente:

Properties3

Quinta parte. Asignación de Políticas IPSEC

En esta parte asignaremos las políticas IPSEC a una OU (Unidad Organizativa).

Abriremos la consola de usuarios del directorio activo pulsando:

Inicio à Programas à Herramientas Administrativas à Usuarios y equipos de Active Directory

Users

Crearemos una nueva OU que se llame por ejemplo Aislamiento. Dentro de esta unidad organizativa introduciremos tanto el servidor crítico, como los equipos afectados. Estarán de momento 2 equipos. El servidor, y el equipo PC001.

En las propiedades de la OU, en la pestaña Directiva de Grupo, pulsamos la opción Nuevo. Nos creará una nueva directiva de grupo que pondremos como nombre Aislamiento del Dominio. Una vez creada pulsaremos la opción Editar.

Se nos abrirá la consola del editor de objetos de directiva de grupo. De ahí nos iremos a:

Configuración de equipo à Configuración de Windows à Configuración de seguridad à Directivas de seguridad IP en Active Directory

Una vez seguida esta ruta, asignaremos la directiva Aislamiento del dominio, tal y como se muestra en la imagen.

ActiveRule

Sexta parte. Probando la configuración

Tenemos dos equipos aislados, que son el servidor de datos y un PC. Éstos van a través de IPSEC. Vamos a actualizar las políticas en ambos equipos y a probar la configuración. Estos comandos los ejecutaremos en los 3 equipos:

Gpupdate /force .- Obligamos al equipo a actualizar las políticas del dominio. Este comando actualizará las directivas tanto a nivel de usuario como de equipo.

Net Stop policyagent.- Pararemos el servicio IPSEC.

Net Start policyagent.- Iniciaremos el servicio IPSEC.

Si todo ha salido bien, el equipo PC001 podrá ver (hacer ping) al servidor de datos SERV2K3FIL01.

El equipo PC002 no podrá ni hacer ping ni ver datos en el servidor.

Verificando que se aplican las políticas

Para verificar que se están aplicando nuestras políticas IPSEC en nuestros equipos, podemos utilizar el monitor de seguridad IP, integrado en la consola de Windows MMC (Microsoft Management Console). Para abrir el monitor de seguridad, seguiremos estos pasos:

Inicio à Ejecutar à mmc

En la consola de administración, pulsaremos la opción Archivo à Agregar o quitar complemento. A partir de ahí agregaremos el complemento Monitor de Seguridad IP.

MonitorIP

Si lo hacemos en el equipo PC001, expandiremos lo siguiente:

Monitor de seguridad à PC001 à Modo rápido à Filtros específicos

Si todo ha salido bien, podremos ver si se han asignado las directivas de seguridad IP a nuestro equipo.

ViewRules

Espero que os haya gustado!

1Saludo!

DRM, Definición y Concepto. Por Fernando Muñoz

Estándar

Interesante artículo sobre el DRM de Windows redactado por Fernando Muñoz (MVP Shell/User). Lo acabo de ver en su Web Fermu.com 

 DRM son las siglas en ingles, de Digital Right Management, mucho hemos oído hablar de esta nueva tecnología que se está implantando y escuchamos alertados críticas a este nuevo sistema, información no del todo aproximada y conceptos equivocados. En este artículo quiero definiros que es y en qué consiste DRM.

INTRODUCCIÓN
En primer lugar el DRM, es simplemente un medio que permite controlar la distribución de archivos con contenidos digitales, es decir, que se puede controlar cualquier video, archivo musical o documento susceptible de estar protegido por derechos de autor. Con DRM el distribuidor del archivo puede controlar, que, quién, cuándo y cómo, va a ver ese archivo en base a la licencia de distribución que haya diseñado el autor o distribuidor de la obra.

Existen diversos tipos de DRM, pero básicamente los podemos dividir en dos clases:

  1. DRM, por hardware que es quizás el más efectivo. Este tipo de DRM, puede ser incluido en el hardware de cualquier dispositivo susceptible de poder reproducir contenidos digitales, y obviamente entre esta categoría está enmarcada nuestros ordenadores y también dispositivos reproductores de DVD, dispositivos reproductores de CD, las nuevas tecnologías de almacenamiento digital como el blue ray, etc.
  2. DRM por software, que es quizás menos eficaz, pero que puede llegar a impedir reproducir en parte o en su totalidad el contenido del archivo digital que pretendemos escuchar o visualizar. Comprendida en esta categoría tenemos diversos métodos que la implementan, entre ellos el Fairplay diseñado por Apple para su itunes, RealMedia Helix, de Real Network o Windows Media DRM, implementado por Microsoft para su popular reproductor multimedia y al cual nos referiremos en este artículo.

El DRM no es algo nuevo, y no es un concepto que haya inventado Microsoft, en su cruzada antipiratería ya que esta tecnología se usa, por ejemplo cuando reproducimos un DVD. Exactamente los DVDs usan el Content Scrambling System (CSS) que cifra los datos del DVD, y se asegura de que solo un reproductor con una licencia DVD lo pueda decodificar. Es una forma de asegurarse de que no se harán copias ilegales del contenido, si bien no tardo mucho en crackearse este sistema. Inclusive el popular Sistema Operativo de Código abierto Linux, tendría que adaptarse, bajo la premisa de que los contenidos bajo DRM no funcionarian en sistemas que no estuvieran adaptados.

MICROSOFT Y DRM
La historia de Microsoft con DRM no comienza con Windows Vista como muchos pudieran pensar, se remonta a 1999 en la que se produjo la primera versión de Windows Media DRM, En la actualidad, y siempre según Microsoft, más de 500 millones de PCs tienen instalada esta tecnología, que permite ya hoy en día ser utilizada en diversos escenarios, entre ellos:

  1. Servicios de suscripción a sistemas de visión pay per view
  2. Comprar y descargar una pista musical
  3. Servicios de Alquiler, etc.

Cómo vemos la única finalidad, en principio, de esta tecnología es entregar de forma segura contenido digital, y proteger los derechos de autor, no impide reproducir o grabar aquellos archivos digitales que tenemos en nuestro PC sin estos derechos de autor guardados en nuestro disco duro. Un ejemplo muy claro para entenderlo podría ser este:

CASO 1.
Imaginemos que hemos descargado una canción de un CD cualquiera vía emule, y que este lleva implementada el manido DRM, cuando lo reproduzcamos Windows Media, irá automáticamente a la Web del autor del archivo para que adquiramos la licencia que nos permita su reproducción.

CASO 2.
Imaginamos que tenemos una colección de música propia en mp3, que no implementa DRM, bien porque el autor de la obra no haya querido implantarlo, o bien porque los hayamos volcado de un CD que habíamos comprado previamente, o por lo que sea. En este caso Windows Media permite la reproducción del archivo sin ningún tipo de problema.

Es decir, que básicamente cualquier contenido que su autor no decida implantar DRM en su archivo digital puede ser reproducido / grabado, sin problemas.

Windows Media DRM y Windows Vista.
Cómo ya hemos dicho, Windows Media DRM, no es algo nuevo que nos instale Windows Vista, sino que lo tenemos ya instalado. De hecho el reproductor de Windows Media que viene por defecto con Windows XP SP2 utiliza la versión 10 y creo que todos podemos reproducir sin problemas el contenido digital almacenado en nuestro PC. Recalcar que no es algo novedoso y que esta tecnología fue usada por primera vez con Windows Millenium, y en todas las versiones de Windows posteriores ha venido incorporada

Windows Vista, trae por defecto el Windows Media DRM 11, que si que supone alguna novedad respecto a la versión anterior, pero no nos alarmemos

La versión utilizada por Windows Vista introduce varias posibilidades entre ellas, reducir la resolución de imagen de un video que tenga implementada una política DRM, si así lo decide el autor. O bien deteriorar la calidad de audio e inclusive impedir que se pueda ver u oír con determinados dispositivos que no cumplan con los estándares DRM, también puede llegar a impedir “tostar / grabar” el contenido digital protegido con derechos de autor, si así lo decide el distribuidor de la Obra.

CONCLUSIÓN

El DRM lo estamos utilizando ya y solo será funcional si así lo decide quien distribuye la obra, nuestro contenido digital no sujeto a DRM no está afectado y seguirá funcionando con normalidad. Y repito que es sólo el autor de la obra el que finalmente decide que restricciones poner al contenido digital que está distribuyendo, Windows Media DRM solo viene a facilitar esta tarea. Por cierto, y como última cuestión, no afecta ni afectará a los juegos u otro tipo de Software Comercial.

Microsoft ha habilitado una página en donde se aclaran (en inglés) alguna de estas cuestiones, por lo que para cualquier otra duda adicional que tengáis os remito a la información que se da oficialmente a este respecto.