Aislamiento de Servidores en Windows

Estándar

En este artículo podremos aprender cómo aislar servidores en un controlador de dominio, añadiendo cifrado y autenticación de paquetes para asegurar la integridad de los datos y prevenir ataques. Todo ello lo haremos a través de IPSEC.

Escenario

Tenemos un servidor en la empresa A. Este servidor contiene datos críticos de la empresa y sólo necesitan acceso a ellos una serie de equipos. Este servidor ha sufrido varios intentos de ataque por personal interno de la empresa. El consejo directivo ha sido tajante con el asunto. Hay que mantener la integridad de los datos y minimizar el riesgo de otro posible ataque.

El departamento de informática se reune y estudia la situación. El servidor ha sufrido una serie de ataques, entre los que se encuentran:

  • Man in the Middle
  • DOS (Denial Of Service)
  • Monitoreo de Red con Sniffers
  • Batería de Exploits sin certeza de máquina (Han lanzado tanto exploits para Linux como para Windows) Se presupone que es una herramienta tipo metasploit.

La empresa no posee cortafuegos interno, ni una política de seguridad estable. Sus usuarios son todos Administradores.

Debido a las grandes pérdidas ocasionadas por esta serie de problemas, la empresa A decide que ha llegado la hora de securizar la corporación. Pero el servidor crítico tiene que ser securizado YA.

Una empresa externa se encargará de aislar el servidor crítico y formar al departamento de informática en materia de seguridad.

Deciden que la mejor implementación es que los equipos que necesiten acceder a ese servidor, lo hagan a través de IPSEC, y asegurarse de que haya tanto cifrado como integridad de paquetes. La implementación de IPSEC también prevendrá los ataques anteriores.

Parte primera. Asegurarse de que hay comunicación entre los equipos clientes y el servidor de datos.

Nombre del Servidor: SERV2K3FIL01 (Windows 2003)

Equipos: PC001 y PC002

Basado en controlador de dominio Windows 2003.

Dirección IP del Controlador de dominio: 192.168.2.2

De momento no hay establecida ninguna política de restricción. En los equipos cliente estableceremos comunicación con el servidor, tipeando el comando net view

Net view \\SERV2K3FIL01

El servidor nos muestra los ficheros compartidos. Hay comunicación con el servidor.

Segunda parte. Configurar el aislamiento del servidor. Establecer políticas IPSEC.

Una política IPSEC consiste en reglas o filtros y acciones para estas reglas. La unión de ellas determinará si un paquete de datos pasa o no pasa a destino.

Creando una lista de filtros para el aislamiento

En el controlador de dominio vamos a la ruta siguiente:

Inicio à Programas à Herramientas Administrativas à Directiva de seguridad del controlador de dominio

Expandimos la configuración de seguridad y nos dirigimos a Directivas de seguridad en Active Directory, y una vez allí pinchamos con el botón derecho del ratón y pulsamos la opción Administrar listas de filtros IP y acciones de filtrado

SecurityConfig

AdminIpList

Pulsamos en Agregar para crear un nuevo filtro IP.

Acto seguido nos sale el GUI para crear un nuevo filtro IP. Como no vamos a utilizar el asistente, desmarcamos la opción Usar asistente para agregar. Como primera regla vamos a crear la siguiente:

Permitir todo el tráfico entre el controlador de dominio y otras computadoras.

Como nombre vamos a poner Controlador de dominio y como descripción, pondremos el enunciado anterior, para mantener un orden.

Pulsamos en Agregar para configurar las propiedades del filtro.

Dirección de origen:         Mi dirección IP

Dirección de destino:         Dirección IP específica

Nota: Nos cercioraremos de que la opción reflejado está marcada. Nos quedaría de la siguiente forma:

Properties

Pulsamos en Aceptar.

Tenemos nuestro primer filtro!

Añadiremos un segundo filtro. Esta vez para la subred. Crearemos una subred segura.

Nombre del filtro:         Subred Segura

Descripción:    Hacer que coincida el tráfico entre las computadoras y la subred 192.168.2.0

Propiedades del filtro

Dirección de origen:    Mi dirección IP

Dirección de destino:    Una subred IP determinada

Ya tenemos nuestro segundo filtro!

Properties2

 

Tercera parte. Estableciendo acciones de filtrado 

Una acción de filtrado en una política IPSEC, va a determinar cómo se va a negociar la seguridad entre las computadoras a las que les afecten estas reglas. Nos va a permitir tomar decisiones sobre cómo será negociada y por qué medios será negociada.

Para crear una acción de filtrado nos dirigiremos a la pestaña que dice Administrar acciones de filtrado.

AdminIpList2

Como no vamos a utilizar el asistente, desmarcaremos la opción Usar Asistente para agregar. Acto seguido pulsamos la opción Agregar

En la pestaña General y como nombre de la acción de filtrado pondremos Dominio Aislado.

En Descripción pondremos lo siguiente para mantener un orden:

Prohibir comunicación entre equipos aislados y equipos no aislados

En la pestaña métodos de seguridad pulsaremos la opción Agregar y marcaremos la opción Integridad y Cifrado.

Integrity

Cuarta Parte. Asignando la política IPSEC

Pulsaremos con el botón derecho del ratón sobre Directivas de seguridad IP en Active Directory y pulsaremos la opción Crear directiva de seguridad IP

CreateRule

En la pestaña General pondremos como nombre Aislamiento del dominio y en descripción pondremos Proveer al dominio de aislamiento.

Como no vamos a utilizar el asistente, desmarcaremos la opción Usar asistente para agregar y marcaremos la opción Agregar

Planteamiento

En la pestaña Listas de filtros IP marcaremos la opción Controlador de Dominio y en la pestaña Acción de filtrado marcaremos la opción Permitir.

En la pestaña Listas de filtros IP marcaremos la opción Subnet Segura y en la pestaña Acción de filtrado marcaremos la opción Dominio Aislado.

En la pestaña Listas de filtros IP marcaremos la opción All ICMP Traffic y en la pestaña Acción de filtrado marcaremos la opción Permitir.

Nos quedaría lo siguiente:

Properties3

Quinta parte. Asignación de Políticas IPSEC

En esta parte asignaremos las políticas IPSEC a una OU (Unidad Organizativa).

Abriremos la consola de usuarios del directorio activo pulsando:

Inicio à Programas à Herramientas Administrativas à Usuarios y equipos de Active Directory

Users

Crearemos una nueva OU que se llame por ejemplo Aislamiento. Dentro de esta unidad organizativa introduciremos tanto el servidor crítico, como los equipos afectados. Estarán de momento 2 equipos. El servidor, y el equipo PC001.

En las propiedades de la OU, en la pestaña Directiva de Grupo, pulsamos la opción Nuevo. Nos creará una nueva directiva de grupo que pondremos como nombre Aislamiento del Dominio. Una vez creada pulsaremos la opción Editar.

Se nos abrirá la consola del editor de objetos de directiva de grupo. De ahí nos iremos a:

Configuración de equipo à Configuración de Windows à Configuración de seguridad à Directivas de seguridad IP en Active Directory

Una vez seguida esta ruta, asignaremos la directiva Aislamiento del dominio, tal y como se muestra en la imagen.

ActiveRule

Sexta parte. Probando la configuración

Tenemos dos equipos aislados, que son el servidor de datos y un PC. Éstos van a través de IPSEC. Vamos a actualizar las políticas en ambos equipos y a probar la configuración. Estos comandos los ejecutaremos en los 3 equipos:

Gpupdate /force .- Obligamos al equipo a actualizar las políticas del dominio. Este comando actualizará las directivas tanto a nivel de usuario como de equipo.

Net Stop policyagent.- Pararemos el servicio IPSEC.

Net Start policyagent.- Iniciaremos el servicio IPSEC.

Si todo ha salido bien, el equipo PC001 podrá ver (hacer ping) al servidor de datos SERV2K3FIL01.

El equipo PC002 no podrá ni hacer ping ni ver datos en el servidor.

Verificando que se aplican las políticas

Para verificar que se están aplicando nuestras políticas IPSEC en nuestros equipos, podemos utilizar el monitor de seguridad IP, integrado en la consola de Windows MMC (Microsoft Management Console). Para abrir el monitor de seguridad, seguiremos estos pasos:

Inicio à Ejecutar à mmc

En la consola de administración, pulsaremos la opción Archivo à Agregar o quitar complemento. A partir de ahí agregaremos el complemento Monitor de Seguridad IP.

MonitorIP

Si lo hacemos en el equipo PC001, expandiremos lo siguiente:

Monitor de seguridad à PC001 à Modo rápido à Filtros específicos

Si todo ha salido bien, podremos ver si se han asignado las directivas de seguridad IP a nuestro equipo.

ViewRules

Espero que os haya gustado!

1Saludo!

About these ads

6 comentarios en “Aislamiento de Servidores en Windows

  1. PVazquez

    Hola Juanito, disculpa mi ignorancia pero no me queda claro si…
    Esto se hace solo en el servidor AD de forma que los PC de la misma subred tendrán acceso. Es eso?? Y si otro PC inicia sesion en local, fuera del dominio no tendrá acceso al AD, he entendido bien?? Aunque esté en la misma subred??
    Que follón :(

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s