CEH v8

Buenas.
Quiero compartir este logro con Uds.
Pronto estaré haciendo posts sobre Test de Intrusión y seguridad ofensiva :)

Saludos

Instalación y Configuración básica de un Servidor DHCP en Windows Server 2012 desde Powershell

Buenas.
En esta ocasión, explicaremos cómo Instalar y Configurar básicamente un Servidor DHCP en Windows Server 2012 utilizando los nuevos cmdlets de Powershell.

Comencemos.

Para ver todos los comandos disponibles en Powershell para DHCP debemos ejecutar:
Get-Command -Module DhcpServer

El Primer comando que ejecutaremos para instalar el Servidor DHCP es el siguiente:

Install-WindowsFeature -Name DHCP

Al finalizar nos aparecerá el mensaje de SUCCESS y que se necesita reinicio:

Ahora para que tengamos la consola de administración DHCP, deberemos agregar la característica ejecutando el siguiente comando:

Install-WindowsFeature -Name RSAT-DHCP

 

Al finalizar nos aparecerá el mensaje de SUCCESS y que se necesita reinicio:

Luego deberemos reiniciar el equipo, podemos hacerlo ejecutando el siguiente comando:
shutdown /r /t 0

Y esperamos a que se reinicie el servidor

Luego deberemos enlazar el Servidor DHCP a una Interfaz de Red para que pueda asignar direcciones IP dinámicamente. Esta interfaz debe estar configurada con una dirección IP estática.

Para realizar esa tarea ejecutaremos el siguiente comando (suponiendo que el nombre de nuestro dispositivo de red es Ethernet0):

Set-DhcpServerv4Binding -BindingState $true -InterfaceAlias “Ethernet”

En caso de que tengamos un Controlador de Dominio y necesitemos especificar el nombre DNS, deberíamos introducir el siguiente comando:

Add-DhcpServerInDC -DnsName “nombrededominio.com”

Como no tenemos DC en este ejemplo continuaremos.

Ahora tenemos que crear el ámbito.

Nuestro Ámbito tendrá las siguientes características:

-          Nombre del ámbito: “Ambito 1”

-          Rango 192.168.0.100 a 192.168.0.254

-          Máscara del ámbito: 255.255.255.0

Para crearlo ejecutaremos el siguiente comando:

Add-DhcpServerv4Scope -Name "Friendly Name of Scope" -StartRange 192.168.0.100 -EndRange 192.168.0.254 -SubnetMask 255.255.255.0

Ahora configuraremos una puerta de enlace para nuestro ámbito ejecutando el siguiente comando:

Set-DhcpServerV4OptionValue -ScopeID 192.168.0.0 -router 192.168.0.254

Si tuviésemos un Servidor DNS, nombre de dominio, tendríamos que ejecutar este comando:

Set-DhcpServerV4OptionValue -ScopeID 192.168.0.0 -router 192.168.0.254 -DnsDomain

dominio.com -DnsServer 192.168.0.2

Luego agregaremos (opcional) un rango de exclusión.

En este caso irá desde 192.168.0.200 a 192.168.0.254

Add-DhcpServerv4ExclusionRange 192.168.0.0 -StartRange 192.168.0.200 -EndRange 192.168.0.254

Ahora ya está creado nuestro ámbito, es hora de probarlo desde un equipo cliente ejecutando

ipconfig /renew

Y luego veremos la configuración completa ejecutando

ipconfig /all

Podemos ver las estadísticas del Servidor DHCP ejecutando el siguiente comando:

Get-DhcpServerv4Statistics

Nos dará información completa sobre el Servidor, por ejemplo: número de ámbitos, direcciones en uso, direcciones disponibles, etc.

 También podemos crear reservas.

Por ejemplo crearemos la reserva 192.168.0.8 para la dirección MAC 00-0C-29-4A-D1-1A

Ejecutando el siguiente comando:

Add-DhcpServerv4Reservation -ScopeID 192.168.0.0 -IPAddress 192.168.0.8 -ClientId 00-0C-29-4A-D1-1A -Description "Reserva para Julio"

También podemos negar la concesión de direcciones IP a una MAC en particular:

Add-DhcpServerv4Filter -List Deny -MacAddress ClientId 00-0C-29-4A-D1-1A -Description "Negando a Julio"

 Y si quisiéramos eliminar el ámbito 192.168.0.0 deberíamos ejecutar el siguiente comando:

Remove-DhcpServerv4Scope -ScopeID 192.168.0.0 –force

 Espero les sea útil.

Hasta la próxima.

Instalación y configuración básica de Active Directory Certificate Services

Active Directory Certificate Services:

Active Directory Certificate Services (AD CS) es utilizado para crear Autoridades Emisoras de Certificados (CA) y servicios relacionados que permitirán emitir y administrar certificados utilizados en una variedad de aplicaciones.

Sus principales componentes son:

-          Certificate Authority (CA): Componente principal de la infraestructura de servicios de certificado, es la entidad responsable de emitir certificados a los usuarios, equipos y otras entidades como a las Cas subordinadas. Es responsable de aceptar o rechazar una solicitud de certificado, verificar la información del solicitante, validar el certificado, revocar los certificados y publicarlos en las Listas de Revolación (CRLs).

-          Web Enrollment: Este nos permite solicitar los certificados desde la Web. Un ejemplo de uso de éste método es cuando tenemos clientes que no están conectados directamente a la red o bien no son clientes Microsoft.

-          Online Certificate Status Protocol (OCSP): Cuando un cliente envía una solicitud de información sobre el estado actual de un certificado, es el OCSP que se encarga de responder a la “pregunta”. OCSP sólo es responsable de responder a las solicitudes individuales, es decir, no distribuye las actualizaciones periódicamente.

-          Network Device Enrollment Service (NDES): Algunos dispositivos de red, como routers y switches, no podrán autenticarse en la red cuando quieran registrar un certificado X.509. Para hacer frente a este problema, Microsoft utiliza NDES que es una implementación de Protocolo de Registro de Certificados Simple (SCEP), un protocolo de comunicación que el software que se ejecuta en los dispositivos para obtener un certificado de una CA.

-          Certificate Enrollment Policy Web Server (CEP) y Certificate Enrollment Web Services (CES): Para permitir a los usuarios y equipos la recepción de una directiva de registro de certificados via Web, necesitaremos implementar un rol de AD CS llamado CEP. En conjunto con el Servicio web de inscripción de certificados, este servicio permite a la política basada en la inscripción de certificados en los siguientes escenarios:

o   Si el equipo cliente no es un miembro del dominio

o   Cuando un miembro de dominio no está conectado al dominio.

 

 

Mediante Powershell vamos a verificar si el rol y sus componentes están disponibles para la instalación y si están instalados.

Para eso ejecutaremos el siguiente comando:

Get-WindowsFeature | where {$_.name -like "adcs*" -or $_.name -like "ad-c*"}

 

Podemos instalar el servicio ejecutando:

Install-WindowsFeature adcs-cert-authority –IncludeManagementTools 

Si volvemos a ejecutar

Get-WindowsFeature | where {$_.name -like "adcs*" -or $_.name -like "ad-c*"}
veremos que ahora si tenemos la CA instalada 

 

Posteriormente si abrimos Server Manager nos aparecerá el signo de advertencia donde nos indica que AD CS debe ser configurado 

 

Hacemos clic en Configure Active Directory Certificate Services

En la primera ventana nos pedirá que introduzcamos las credenciales administrativas y luego haremos clic en siguiente: 

 

Luego nos pedirá que indiquemos que queremos configurar Certification Authority y hacemos clic en Next 

Luego tendremos que seleccionar qué tipo de CA instalaremos.

En este caso instalaremos un Enterprise CA porque de esa manera nos aseguraremos de emitir certificados solo para Dominio.

Hacemos clic en Next

 

En la siguiente ventana deberemos seleccionar el tipo de CA, en este caso es un CA Raiz.

Se recomienda (como buena práctica) que el CA raíz esté offline y que los certificados que emita tengan un tiempo de vida más grande que un CA subordinado.
Al estar offline el CA estará menos expuesto a riesgos y vulnerabilidades

 

Posteriormente deberemos crear una nueva clave Privada (podemos utilizar una existente si es que la tendríamos) 

 

 

En la siguiente ventana deberemos seleccionar el proveedor criptográfico, la longitud de la llave y el tipo de hash para firma de certificados que se utilizará

 

Luego introduciremos un nombre común para el CA, el sufijo y el Common Name (que generalmente es el mismo del equipo). Luego haremos clic en Next 

 

En la siguiente ventana deberemos el tiempo de validez de los certificados que emitirá este CA. Como es un CA Raíz yo le puse 20 años 

 

Luego deberemos seleccionar la ubicación de la Base de Datos y los logs del CA.

 

Por último deberemos seleccionar Configure para concluir con la configuración (podemos ir atrás para corregir o cambiar algunos de sus parámetros mostrados en resumen) 

 

 

Posteriormente deberemos volver a Server Manager y seleccionaremos nuevamente Add Roles and Features Wizard y seleccionaremos Active Directory Certificate Services y agregaremos los demás servicios necesarios

 

 

 

Luego en Server Manager, Tools podremos observar las nuevas herramientas instaladas. Listas para configurar y utilizar

 

 

En los siguientes post veremos cómo utilizar estas herramientas.

 

Espero les haya sido útil.

 

Saludos

Asegurando Servidores Windows Server 2012 utilizando Security Configuration Wizard

En este tutorial, se explicará como utilizar el SCW en Windows Server 2012.
El escenario de este tutorial es el Siguiente:

El Equipo es un Controlador de Dominio con Nivel Funcional Windows Server 2012. También está instalado en el equipo un Servidor DNS y un DHCP (no configurado aún).

Comenzamos....

Primeramente ejecutamos Server Manager

 

Luego Ejecutamos Security Configuration Wizard desde Tools 

Luego nos aparecerá la ventana del SCW donde haremos clic en Next

 

En la siguiente ventana seleccionaremos si queremos crear una nueva política, editar una exisente, aplicar una existente o volver a la última política de seguridad aplicada.

En este ejemplo crearemos una nueva, pero si quisiéramos aplicar una ya existente, editarla o volver a una anterior, deberemos utilizar esta herramienta para hacerlo.
Luego hacemos clic en Next

 

 

Luego en la siguiente ventana nos pedirá a que equipo queremos crearle la directiva.
Si tenemos los suficientes privilegios, podemos seleccionar un equipo de la red. Por defecto el equipo será el equipo local. Luego haremos clic en Next

 

 

A continuación se creará la Base de Datos para la configuración según los roles, características, servicios, etc. del equipo.
Cuando concluya podremos ver el archivo de BD.
Hacemos clic en Next.

 

 

 Luego nos aparecerá la pantalla inicial de configuración de los Roles. Hacemos clic en Next.

 

Nos aparecerá una lista de todos los roles instalados en el equipo. Nosotros podemos por un lado listarlos y por otro si seleccionar los roles que aplican a nuestra directiva de seguridad.

Luego haremos clic en Next

 

 

 Luego deberemos seleccionar las características “Cliente” de nuestro equipo que aplicará nuestra directiva de Seguridad.
Hacemos clic en siguiente.

 

 

 En la siguiente ventana deberemos seleccionar las opciones administrativas y otras que se asegurarán con nuestra directiva.

 

 

 Luego deberemos seleccionar los servicios adicionales que están instalados en el equipo.

 

En la siguiente ventana tenemos la chance de indicar cómo el Sistema Operativo se comportará cuando se ejecute un servicio no especificado en la política de seguridad. 

 

A continuación podremos revisar todos los cambios que se realizarán en los servicios 

 

 

 Luego tendremos que configurar la política con relación a la red (nótese que podemos omitir la sección).
Hacemos clic en siguiente

 

 

 En la siguiente ventana se listan las reglas de Firewall que son necesarias para los roles y opciones seleccionadas. Si queremos, podemos modificarlas.
Hacemos clic en Next.

 

 

Luego deberemos configurar las opciones del Registro (también si queremos podemos omitir esta sección).
Luego hacemos clic en Next

 

 En esta ventana se determina si un paquete firmado es requerido por el Servidor SMB.

Hacer clic en Next.

 

 En la siguiente ventana (en el caso de que sea un Controlador de Dominio, como es el Servidor Ejemplo) deberemos seleccionar si queremos que se requiera la firma del protocolo LDAP (Windows 200 SP3 o superior).

Luego hacemos clic en Next.

 

 A continuación determinaremos si queremos que se utilice el nivel de autenticación LAN Manager para las conexiones entrantes y salientes.

Hacemos clic en Next.

 

 La siguiente ventana nos permitirá configurar en la política el nivel de autenticación LAN Manager utilizada cuando se realicen conexiones de salida.

Cuando se termine hacer clic en Next.

 

 En la siguiente ventana veremos un resumen de las opciones de registro en la Política.

Haremos clic en Next.

 

 

 Luego procederemos a configurar los objetivos de auditoría (si queremos podemos omitir esta sección).
Hacemos clic en Next.

 

 

 Acá deberemos seleccionar los objetivos de auditoría, es decir, si queremos auditar actividades correctas y erróneas, o si queremos auditar actividades correctas solamente o bien no auditar.
Una vez seleccionado el objetivo, hacemos clic en Next.

 

 Luego veremos un resumen con respecto a los objetivos de auditoría configurados en la política.

Hacemos clic en Next.

 

Ahora procederemos a guardar la política 

 

 

 Deberemos seleccionar la ruta (que por defecto es %SystemRoot%\security\msscw\Policies\) y se asignaremos un nombre al archivo (que tendrá una extensión .xml).

 

 Como anteúltimo paso seleccionaremos si queremos aplicar la política ahora o luego (si seleccionamos luego deberemos abrir nuevamente la consola SCW para hacerlo)

Luego hacemos clic en Next.

 

Por último hacemos clic en Finish para terminar.

 

 

 

De esta manera aseguraremos nuestros Servidores tengan una Política de Seguridad bien definida y alineada con los roles, características, servicios, registro, etc. que tenga instalados.

Espero les sea útil.

 

Saludos