Blue Team on Adrián Lois

Port Knocking: mejorar la seguridad en conexiones SSH

Wed, 10 Aug 2022 18:54:00 +0000

Port knocking o golpeteo de puertos es un método que proporciona seguridad frente a ataques de servicios de red, consiste en realizar una serie de peticiones de conexión con una secuencia ordenada de puertos para poder habilitar una regla previamente configurada en la máquina remota que nos permita abrir una comunicación única entre cliente/servidor y establecer finalmente una conexión abierta SSH hacia el servidor remoto.

El uso de esta implementación puede ser catalogado como seguridad por oscuridad.

2FA: segundo factor de autenticación en conexiones SSH

Wed, 22 Jun 2022 11:53:00 +0000

Implementar un segundo factor de autenticación 2FA en servicios SSH sin duda es una muy buena opción de seguridad no solo para servidores expuestos a internet sino para aquellos usuarios que pueden elevarse a un contexto privilegiado de sudo y servidores críticos en una red interna corporativa.

Con este mecanismo de autenticación en dos pasos se estaría reduciendo en gran medida la superficie de ataque de los vectores de entrada a estos sistemas por parte de un posible atacante.

Microsoft LAPS: evitar movimientos laterales en Active Directory

Tue, 11 Jan 2022 13:09:00 +0000

Microsoft LAPS (Local Administrator Password Solution) se trata de una herramienta de Microsoft que pone solución a la gestión de contraseñas administrador local de los equipos unidos a un dominio.

Entendiendo el riesgo de seguridad y escenarios comunes en las organizaciones Link to heading

En la mayoría de compañías es una práctica común establecer la misma contraseña para la cuenta del administrador local en todos los equipos que forman parte de un dominio, principio de localidad entre máquinas, ya puedan ser clientes o servidores (exceptuando los Domain Controller que por defecto carecen de una cuenta de administrador local).

Apache Log4j: vulnerabilidades de Log4Shell

Thu, 23 Dec 2021 23:08:00 +0000

No suelo realizar publicaciones de este tipo pero considero este caso como una excepción.

“Log4j” o “Log4Shell” se han convertido en trending topic no solo en las comunidades de Ciberseguridad sino también en los entornos tecnológicos en general.

Si hablásemos de un “Top Vulnerabilidades 2021” está claro que se lo llevarían las asociadas a Apache Log4j, el revuelo de esto no está tanto por el número de vulnerabilidades publicadas y su gravedad, sino por el impacto de afectación que está teniendo en una enorme cantidad de productos y servicios. El mayor problema es identificar las aplicaciones que lo usan, en muchos casos las empresas carecen de un inventario actualizado de las aplicaciones que utilizan. El inventario es fundamental en materia seguridad.

Detectar, alertar y bloquear fuerza bruta a RDP

Tue, 16 Nov 2021 21:10:00 +0000

Antes de nada comentar que es una muy mala práctica y está totalmente desaconsejado publicar hacia internet servicios de escritorio remoto. RDP es de los servicios más comprometidos por atacantes externos, con más intentos de ataques y que facilitan un vector de entrada directo a la red de una empresa si el acceso se configura de esta forma.

En el caso de tener que publicar RDP a internet -sin una VPN o una conexión intermedia hacia un equipo bastión- aunque sea de una manera temporal, hay que hacerlo de la forma “más segura” posible.

Firmar scripts PowerShell [Parte 2 de 2]: hardening con CA ADCS y despliegue por GPO

Thu, 25 Mar 2021 19:02:00 +0000

Firmar scripts PowerShell Link to heading

Continuando con el artículo sobre cómo firmar scripts PowerShell estableciendo una política de ejecución AllSigned.

En este post comentaré cómo hacer uso de las plantillas de certificados para el propósito de “Firma de código” emitidas por una Entidad de certificación CA implementada en un entorno de dominio haciendo uso del servicio ADCS (Active Directory Certificate Services), desplegando el certificado vía GPO y finalmente realizar una comprobación de integridad del script PowerShell firmado.

Wynis: auditoría de seguridad para Windows y Active Directory

Thu, 18 Feb 2021 18:04:00 +0000

Wynis es un script de auditoría desarrollado por el usuario Sneakysecdoggo que realiza una evaluación de controles de indicadores del CIS (Center for Internet Security) siguiendo los benchmarks del CIS Best Practices Windows 10 y Windows Server 2016. Los puntos de referencia del CIS son reconocidos internacionalmente como estándares de seguridad para la defensa de sistemas y datos de IT contra ciberataques.

Se trata de una herramienta de script similar a Lynis, usada en sistemas basados en Linux.

Firmar scripts PowerShell [Parte 1 de 2]: hardening de ExecutionPolicy

Tue, 09 Feb 2021 16:49:00 +0000

Firmar scripts PowerShell Link to heading

Por motivos de seguridad Windows PowerShell establece unas políticas de ejecución de scripts. Con el fin de evitar posibles ejecuciones de scripts no deseadas. Para poder ejecutar scripts en PowerShell sin problemas, se tendrá que cambiar la política de ejecución (ExecutionPolicy). Por defecto no están definidas y vienen deshabilitadas (Restricted) para todos los scopes.

Instalar RSAT en Windows 10 cuando WSUS bloquea la descarga

Sat, 07 Nov 2020 10:49:00 +0000

A partir de las últimas versiones de Windows 10 las RSAT (Remote Server Administration Tools) ya no se descargan e instalan como un paquete de actualizaciones de Microsoft. Sino que se incorporan como características avanzadas independientes que podemos descargar/instalar directamente desde el nuevo panel de configuración del sistema.

En el caso de que estemos trabajando en una máquina Windows 10 bajo un entorno de actualizaciones controladas por WSUS (Windows Server Update Services) es muy probable que el propio servidor WSUS esté bloqueando la descarga de las características RSAT.

Instalar actualizaciones .msu en Windows con expand y DISM

Wed, 23 Sep 2020 18:43:00 +0000

Cuando nos descargamos parches directamente de Microsoft Update Catalog normalmente el formato estándar suele ser una extensión .msu (Microsoft Update Standalone Installer) del paquete de actualización con su KB identificativo.

Para instalar un paquete de actualización de forma independiente sin hacerlo a través de las Windows Update de Microsoft Windows, es tan sencillo como ejecutar con doble clic el fichero msu de instalación y esperar a que finalice el proceso. Aunque no siempre ocurre así y resulta costoso realizar la instalación.

Restringir el inicio de sesión RDP a Administradores y usuarios específicos (hardening)

Thu, 03 Sep 2020 16:02:00 +0000

Por defecto para poder usar los Servicios de escritorio remoto RDP Remote Desktop Protocol necesitamos un usuario, ya sea local en la máquina remota o de dominio, que tenga permisos para poder conectarse. Para ello dicho usuario debe ser miembro del grupo Administradores locales o bien del grupo Usuarios de escritorio remoto.

Agregar o quitar usuarios o grupos a través de las Propiedades del sistema (sysdm.cpl) sería lo mismo que hacerlo a través del propio grupo local “Usuarios de escritorio remoto” que podemos encontrar en la consola lusrmgr.msc.

Riesgo del periodo de gracia de sudo en Linux: hardening contra cambio de contraseña root

Wed, 03 Jun 2020 18:34:00 +0000

El uso del comando sudo permite a otros usuarios ejecutar acciones o programas con los privilegios de un usuario root. Es una buena práctica utilizar un usuario regular y en el momento de realizar alguna acción que requiera de elevación anteponer el comando sudo.

Nos pedirá las credenciales del usuario actual, si el usuario tiene capacidad de manejarse en un contexto de super-usuario, es decir pertenece al grupo sudo o está agregado en el fichero /etc/sudoers (o a través de visudo), de este modo el usuario podrá utilizar sudo y ejecutar las tareas necesarias como si de root se tratase. Sería algo similar al uso de UAC en Windows.

Política de contraseñas en Linux: login.defs y pam_pwquality

Sun, 19 Apr 2020 17:23:00 +0000

Antes de entrar en materia y comentar donde se definen las directivas de contraseñas en entornos Linux, es necesario conocer los campos que estructuran al fichero donde almacenan cifradas las contraseñas de usuarios locales /etc/shadow.

Este fichero nos muestra el estado actual de cómo se están aplicando estas directivas a los usuarios y que nos resulta útil en procesos de auditoría interna para conocer esta información.

Estructura del fichero /etc/shadow Link to heading

Hardening Linux: ACLs en directorios y ficheros (setfacl y getfacl)

Wed, 12 Feb 2020 18:31:00 +0000

Las ACL en Linux son, como en cualquier otro sistema operativo, listas de control de acceso (Access Control List) que nos permiten especificar a qué usuarios, grupos o procesos del sistema se les otorga unos permisos específicos a los objetos, como pueden ser directorios o ficheros del sistema.

Por defecto en los sistemas de ficheros ext* las ACL ya se encuentran habilitadas. Existen dos comandos para su gestión:

getfacl: Muestra información de los permisos de ficheros y carpetas.
setfacl: Establece o modifica las ACL de dichos ficheros y carpetas.

Para conocer el detalle de los argumentos disponibles tanto en getfacl como setfacl podemos consultar su ayuda con man.

Active Directory: auditar cambios en cuentas de usuario (ID de eventos)

Sun, 09 Feb 2020 10:19:00 +0000

Para poder auditar la creación y cambios de cuentas de usuarios de Active Directory debemos establecer esta política a nivel de dominio en la plantilla Default Domain Controllers Policy situada en Objetos de directiva de grupo.

La editamos y configuramos:

Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Directivas locales > Directiva de auditoría

Habilitamos “Auditar la administración de cuentas” en intentos Correcto y Error.

Auditar inicios de sesión erróneos (ID 4625) y notificar vía email

Sat, 18 Jan 2020 09:30:00 +0000

Una forma de auditar los errores de accesos de inicio de sesión o login a un sistema Windows ya sean accesos físicos, en remoto mediante RDP, recursos compartidos CIFS o llamadas a procedimientos remotos RPC como pueden ser el acceso a consolas msc de equipos remotos. Se considerarán inicios de sesión en una máquina Windows.

Este artículo se centrará en la auditoría de todos los accesos erróneos de login a un sistema pero en especial irá enfocado a los intentos de inicios de sesión RDP desde equipos remotos y la notificación de este evento vía un mensaje de correo electrónico de forma automática.

WMI Explorer: restricción con filtros WMI en GPO y querys en SCCM

Wed, 04 Sep 2019 05:15:00 +0000

Los filtros WMI (Instrumental de administración de Windows) en las Políticas de grupo (GPO) permiten aplicar políticas de manera más flexible a los clientes mediante el uso de diferentes reglas. Un filtro WMI es un conjunto de consultas WMI (se usa el lenguaje de consulta WMI/WQL) que se puede usar para apuntar a las máquinas a las que se debe aplicar una política de grupo específica.

Por ejemplo, usando el filtro WMI GPO, puede aplicar una política vinculada a una OU solo a las máquinas que ejecutan Windows 10 (una política con dicho filtro WMI no se aplicará a las computadoras con otras versiones de Windows).

fail2ban: control de ataques de fuerza bruta en servicios Linux

Wed, 17 Jul 2019 17:22:00 +0000

fail2ban es una aplicación IDPS (Intrusion Detection and Prevention Systems) que supervisa las conexiones externas de direcciones IPs a servicios internos, se puede parametrizar para bloquear los intentos de accesos externos por fuerza bruta. En base al cumplimiento de las directivas definidas y asociadas a determinados servicios.

fail2ban detecta conexiones que puedan ser anómalas y bloquea la IP pública que intenta acceder a dichos servicios por lo que sería un sistema activo (analiza, detecta y actúa al momento), lo hace añadiendo reglas iptables rechazando las conexiones procedentes de esa dirección IP pública.

Migración FRS → DFSR en controladores de dominio Windows Server (dfsmig)

Wed, 17 Apr 2019 19:30:00 +0000

En el caso que tengamos un controlador de dominio Windows Server 2008 R2 con replicación FRS (File Replication Service) y se necesite migrar a unos nuevos controladores de dominio Windows Server 2019 que haga uso del sistema de replicación DFS (Distributed File System) habría que realizar una migración de los controladores viejos a un sistema de replicación DFS.

Elevar el nivel funcional Link to heading

Primero será necesario elevar el nivel funcional del dominio en los controladores de dominio viejos. El nivel funcional determina las características de los Servicios de dominio de Active Directory (AD DS) que están habilitadas en un dominio o bosque. El nivel funcional del bosque limita al nivel funcional del dominio y solo afecta a los servicios de AD de los controladores de dominio, en el caso de tener un servicio DHCP, IIS, WSUS, etc. no se verían afectados.

Fallos de replicación FRS/DFSR en Active Directory: forzar sincronización (Burflags)

Fri, 12 Apr 2019 17:08:00 +0000

Replicación FRS y DFSR Link to heading

FRS (File Replication Service) servicio para distribuir archivos compartidos y objetos de directiva de grupo entre controladores de dominio a través del recurso C:\Windows\SYSVOL. Windows Server 2003 R2 y Windows Server 2008 son compatibles con DFS (Distributed File System) y el servicio de replicación de archivos.
DFSR (Distributed File System Replication) disponible por defecto a partir de Windows Server 2008 R2, reemplaza al sistema FRS para la replicación del recurso SYSVOL en los servicios de dominio de Active Directory. DFS replica los objetos de configuración almacenados de Active Directory.

Gestión de backups CIFS a servidor FTP remoto con rsync

Tue, 12 Mar 2019 21:00:00 +0000

Una forma de realizar backups de ficheros o directorios independientes entre un sistema Windows y servidor FTP remoto y los ficheros a realizar el backup están en un recurso compartido CIFS (SMB) de Windows, si disponemos de un sistema Linux podremos montar en dos directorios el recurso compartido Windows y el servidor FTP remoto. A posteriori realizar la copia sincronizada con rsync entre el directorio montado con CIFS y el directorio remoto FTP donde se almacenará la copia.

vSphere Web Client: opciones deshabilitadas en la VM

Wed, 27 Feb 2019 20:30:00 +0000

Este troubleshooting está recogido en la base de conocimiento.

https://kb.vmware.com/s/article/2048748

El no poder ver las opciones habilitadas para poder editar la configuración entre otras de la VM pueden ser debido a varias causas, las más habituales puede ser por la configuración de permisos o por tareas ejecutándose en segundo plano.

Figura 1: Opciones deshabilitadas en la máquina virtual en vSphere web client.

Cifrar passwords con PowerShell

Fri, 18 Jan 2019 19:30:00 +0000

Con PowerShell podemos generar o almacenar contraseñas simétricas, secretos (tipo API Key o Access Token) o simplemente cadenas de texto y guardarlas cifradas de forma segura en ficheros de scripts Powershell.

En un caso práctico este método lo llevo utilizando ya un tiempo para almacenar las contraseñas necesarias que se usan en scripts automatizados para realizar en este caso copias de seguridad.

https://github.com/adrianlois/Automatizar-Backups-FTP-PowerShell

Crear passwords cifradas con PowerShell para usar desde el mismo usuario Link to heading

Cuando establecemos una password en Powershell y la volcamos en un fichero, el fichero que contiene la password cifrada solo se podría usar desde el mismo usuario que la estableció.

Transferir roles FSMO en Windows Server y purgar servicios de Active Directory

Thu, 27 Dec 2018 22:30:00 +0000

Los roles de maestros de operaciones FSMO (Flexible Single Master Operations) es una característica de Active Directory. Se trata de un conjunto de tareas de un controlador de dominio usadas principalmente para la replicación entre controladores de dominio.

Existen 5 roles FSMO en un Active Directory:

Schema Master (Maestro de Esquema). Uno por Bosque.
Domain Naming Master (Maestro de Nomenclatura de Dominios). Uno por Bosque.
RID Master - Relative Identifier Master (Maestro Identificador Relativo). Uno por Dominio.

Montar FTP/FTPS remoto en Linux con CurlFtpFS y SSHFS

Fri, 16 Nov 2018 21:22:00 +0000

Para montar una carpeta de un directorio FTP o FTPS remoto en un sistema Linux y acceder a ella de forma local como un volumen más del sistema. Se puede usar CurlFtpFS o SSHFS.

CurlFtpFS Link to heading

CurlFtpFS lo usaremos si no disponemos de conexión SSH hacia el servidor FTP remoto (la transferencia de datos es más lenta).

Instalamos curlftpfs.

sudo apt install curlftpfs

Creamos el directorio en el que montaremos el FTP/FTPS.

Credenciales almacenadas en caché de RDP: riesgos y mitigación

Sat, 03 Nov 2018 18:23:00 +0000

En el artículo anterior había comentado sobre la Gestión y recuperación de credenciales almacenadas en recursos y servicios de Windows. En relación a esto quiero abordar el caso concreto del almacenamiento de credenciales en caché para el servicio de RDP, su comportamiento por defecto, riesgos de seguridad que esto supone y cómo mitigarlos correctamente.

Windows permite de forma predeterminada que el cliente de Escritorio Remoto (RDP) recuerde las credenciales introducidas en sesiones previamente establecidas.

Licencias RDP entre Windows Server 2016 y Windows Mobile (RDM, Windows CE, RDP 5.x/6.x)

Thu, 19 Jul 2018 19:30:00 +0000

Actualmente RDP (Remote Desktop Protocol) está en versión 10.x y versiones más actualizadas que incluyen importantes mejoras de seguridad. Mejoras como una mayor longitud de clave generada por el servidor de licencias RDS 4096 bits con un algoritmo de seguridad SHA256 soportando SSL/TLS y NLA (Network Level Authentication).

Versiones iguales o inferiores a RDP 6.x no soportan las características anteriores. El límite de longitud para las claves es de 2048 bits con algoritmo de seguridad SHA1 (Secure Hash Algorithm 1).

Servidores y modo de licencias CAL de Servicios de Escritorio Remoto (RDS)

Mon, 09 Jul 2018 19:00:00 +0000

Este ejemplo sería aplicable para un entorno en la que disponemos de varios Windows Server. Uno de ellos será el que tendrá el rol instalado de Administrador de licencias de Servicios de Escritorio remoto (RDS - Remote Desktop Services) en el que instalaremos licencias CAL (Client Access Licenses) ya sean por usuario o por dispositivo.

En este caso habrá 5 licencias CAL por usuario para RDS.

Log del firewall de Windows en tiempo real (pfirewall.log)

Sun, 11 Mar 2018 19:49:00 +0000

Para poder ver el log del firewall de Windows en tiempo real primero tendremos que habilitar la creación y almacenamiento del log.

Windows le asigna el nombre por defecto pfirewall.log ubicado en %systemroot%\System32\LogFiles\Firewall\pfirewall.log.

Para configurar el log del firewall (firewall.cpl) nos vamos a las propiedades avanzadas de WFAS (Windows Firewall Advanced Security), eligiremos el perfil en el que se registrará el log y lo personalizamos, especificando un path en el que se almacenará el registro de log o simplemente dejaremos el que Windows establece por defecto. Opcionalmente podemos registrar los paquetes descartados y/o los paquetes correctos.

Descifrar tráfico SSL/TLS en Wireshark con la clave privada

Wed, 13 Sep 2017 10:00:00 +0000

Para poder descifrar tráfico SSL/TLS necesitamos la clave privada sin passphrase del certificado digital del servidor. No se trata de ningún “hack mágico” con el que podremos descifrar el tráfico SSL/TLS.

Si necesitamos analizar el tráfico de un servidor al que tenemos un acceso legítimo, este es un método que nos permitirá poder ver en texto plano todo el tráfico cifrado que pasa por el servidor con el fin de detectar posibles anomalías en una red local.

Administrar permisos de un servicio de Windows sobre un objeto

Sun, 06 Aug 2017 08:00:00 +0000

Definimos objeto a un fichero, carpeta, unidad, etc. Todo aquello en lo que se puedan administrar permisos NTFS en el caso de Windows.

Con los permisos NTFS de Windows podemos gestionar las DACL (Discretionary Access Control List) son listas de control de acceso discrecional en las que se pueden controlar quien es el propietario de un objeto y especifica quién tiene permiso y quién no para acceder a dicho objeto.

Sabemos que se pueden conceder DACL a usuarios locales del sistema, de un dominio, equipos o grupos de usuarios sobre uno o varios objetos (ficheros, carpetas o unidades).

Cómo protegerse de ataques ARP Spoofing

Thu, 03 Aug 2017 08:00:00 +0000

Siguiendo el tema de las entradas en las que comenté los ataques MITM en la tabla ARP.

El éxito de esta técnica de ataque radica en que dentro de una misma red local es posible la suplantación de la dirección MAC de la puerta de enlace, por la dirección MAC del atacante en la tabla ARP del equipo atacado. De modo que todo el tráfico que se genere desde en el equipo atacado será interceptado por el equipo atacante y este a su vez lo redireccionará a la dirección de la puerta de enlace legítima de la red local, de esta manera el equipo atacado no será consciente de que su tráfico de red se esté monitoreando, a menos que este consulte su tabla ARP (arp -a).

Shadow Explorer: recuperar información de instantáneas (VSS)

Sun, 13 Mar 2016 23:36:00 +0000

Shadow Explorer es una herramienta gratuita en la cual podemos recuperar información a través de instantáneas creadas en el tiempo gracias a la habilitación de protección del sistema de Windows.

Nos permitirá seleccionar determinadas fechas (en las que se establecieron las instantáneas) recuperar información de ficheros/directorios en puntos del sistema. Simplemente seleccionamos la unidad, la fecha y buscamos el directorio a examinar para recuperar dichos datos y con el botón derecho los restauraremos en su ubicación original donde habían sido borrados.

¿Cómo se procesan las GPO en un dominio? (Directivas de grupo)

Fri, 14 Aug 2015 07:42:00 +0000

Competencia entre contenedores.

Una GPO, como ya hemos visto anteriormente, puede ser contenida por equipos locales, sitios, dominios y unidades organizativas (en adelante OU).

Como un usuario, por ejemplo, estará en un equipo local que a su vez se ubicará en un sitio, pertenecerá a un dominio y será miembro de una OU se ve claramente que se puede dar el caso de que en el equipo local se aplique una GPO, en el sitio otra, otra para el dominio y otra para la OU (e incluso para la OU hija, de tercer nivel, etc.).

WER (Windows Error Reporting): logs de crashes y bloqueos

Fri, 26 Dec 2014 12:27:00 +0000

En ocasiones ocurren inesperados crashes en aplicaciones o procesos del sistema que provocan a su vez comportamientos anómalos (cuelgues/congelados) en software de terceros.

Errores habituales del tipo: “explorer.exe dejó de responder”, “iexplorer.exe dejó de funcionar”, “ocurrió un error inesperado con outlook.exe, dejó de funcionar”, etc.

Para este tipo de casos y poder generar un log en el que podamos analizar por qué dicha aplicación se quedó bloqueada, es necesario habilitar el servicio Windows Error Reporting (WER) en los servicios de Windows, por defecto suele estar habilitado.

USBDeview y GhostBuster: información de dispositivos USB en Windows

Tue, 02 Sep 2014 12:25:00 +0000

USBDeview es una pequeña aplicación de nirsoft.net que nos muestra información muy detallada de los dispositivos USB conectados actuales o que en un pasado estuvieron conectados en un equipo.

Figura 1: Analizando dispositivos USB USBDeview.

Este tipo de información nos puede ser útil para análisis forenses mostrándonos información de dispositivos conectados en un pasado.

Aprovecho para comentar que la rama del registro de Windows donde podremos ver el ID y demás información de cada dispositivo USB conectado.

Analizar la carpeta Prefetch de Windows (ficheros .pf)

Sun, 09 Feb 2014 10:00:00 +0000

La carpeta Prefetch de Windows ubicada en el path C:\Windows\Prefetch, según Microsoft Windows, define esta carpeta de la siguiente manera.

“Cada vez que se enciende el equipo, Windows realiza un seguimiento de la forma en que se inicia el equipo y los programas que se abren habitualmente. Windows guarda esta información en una serie de pequeños archivos (de extensión .pf) en la carpeta Prefetch. La próxima vez que encienda el equipo, Windows recurrirá a estos archivos para acelerar el proceso de inicio.”

Hardening en Windows: habilitar/deshabilitar recursos compartidos administrativos (C$, ADMIN$)

Mon, 10 Sep 2012 22:38:00 +0000

Windows crea una serie de recursos compartidos por defecto que están “ocultos”, pero que en realidad pueden ser accesibles de una forma muy sencilla mediante una ruta UNC tipo \nombreDeEquipo o dirección IP\nombreRecursoCompartido$. Por ejemplo para acceder al disco local del equipo remoto \\192.168.1.12\c$. Si en el equipo hay definido un usuario con password nos solicitará estas credenciales para poder acceder.

En entornos corporativos bajo un dominio Active Directory es habitual que el personal de TI use estos recursos compartidos administrativos para una gestión y administración de las máquinas. En equipos personales (que no estén unidos a un dominio) recomiendo deshabilitar los recursos compartidos administrativos si no son necesarios.

Tipos de firewall: stateless, stateful, SPI, AIC, DPI, NIDS, IDS/IPS, proxy

Sat, 09 Jun 2012 22:00:00 +0000

En el blog de Oscar Gerometta me encontré un estupendo artículo donde habla de los tipos de firewalls y en qué se basan los firewalls con y sin estado, SPI, AIC, DPI, IDS/IPS/IDPS y Proxy.

Después algunos apuntes a mayores que anoté y adaptarlo un poco comparto el artículo como apunte personal y para quien le pueda resultar de utilidad.

¿Qué es un firewall? Link to heading

Un firewall es un sistema que fuerza la implementación de políticas de control de acceso entre 2 o más dominios de seguridad.

Ataques MITM: ARP Spoofing/Poisoning sobre IPv4 (Parte 2/2)

Sat, 26 May 2012 01:36:00 +0000

¿Cómo prevenir o evitar ataques MITM - ARP Spoofing/Poisoning? Link to heading

Una de las maneras para prevenir el ARP Spoofing de manera manual, es el uso de tablas de caché ARP de forma estática, de forma que no existe caché dinámica, cada entrada de la tabla mapea una dirección MAC con su correspondiente dirección IP.

Escanear conexiones TCP/UDP de procesos del sistema

Sat, 25 Feb 2012 08:30:00 +0000

Para poder evitar ataques que consisten en el uso de puertos TCP o UDP para obtener información confidencial o simplemente para controlar la PC a través de algún malware de monitorización (como puede ser un troyano).

CloseTheDoor es una herramienta gratuita y OpenSource que nos muestra todos los puertos TCP y UDP abiertos del sistema, así como los procesos y aplicaciones que están conectados a ellos.

Permisos NTFS y ACLs en usuarios y grupos de Windows

Sun, 24 Apr 2011 15:57:00 +0000

Modificar permisos a usuarios y a grupos sobre objetos, privilegios a cuentas de usuarios y administradores en Windows.

Tenía pensado dividir este artículo en varias partes, ya que es extenso, pero para no tener comentarios en unas entradas y otras sobre el mismo tema, he decidido incluir todo lo relacionado en el mismo post. Aparte, a la hora de buscar en buscadores y en el blog se reflejará toda la información en un mismo artículo.