Hardening on Adrián Lois

Port Knocking: mejorar la seguridad en conexiones SSH

Wed, 10 Aug 2022 18:54:00 +0000

Port knocking o golpeteo de puertos es un método que proporciona seguridad frente a ataques de servicios de red, consiste en realizar una serie de peticiones de conexión con una secuencia ordenada de puertos para poder habilitar una regla previamente configurada en la máquina remota que nos permita abrir una comunicación única entre cliente/servidor y establecer finalmente una conexión abierta SSH hacia el servidor remoto.

El uso de esta implementación puede ser catalogado como seguridad por oscuridad.

2FA: segundo factor de autenticación en conexiones SSH

Wed, 22 Jun 2022 11:53:00 +0000

Implementar un segundo factor de autenticación 2FA en servicios SSH sin duda es una muy buena opción de seguridad no solo para servidores expuestos a internet sino para aquellos usuarios que pueden elevarse a un contexto privilegiado de sudo y servidores críticos en una red interna corporativa.

Con este mecanismo de autenticación en dos pasos se estaría reduciendo en gran medida la superficie de ataque de los vectores de entrada a estos sistemas por parte de un posible atacante.

Microsoft LAPS: evitar movimientos laterales en Active Directory

Tue, 11 Jan 2022 13:09:00 +0000

Microsoft LAPS (Local Administrator Password Solution) se trata de una herramienta de Microsoft que pone solución a la gestión de contraseñas administrador local de los equipos unidos a un dominio.

Entendiendo el riesgo de seguridad y escenarios comunes en las organizaciones Link to heading

En la mayoría de compañías es una práctica común establecer la misma contraseña para la cuenta del administrador local en todos los equipos que forman parte de un dominio, principio de localidad entre máquinas, ya puedan ser clientes o servidores (exceptuando los Domain Controller que por defecto carecen de una cuenta de administrador local).

Apache Log4j: vulnerabilidades de Log4Shell

Thu, 23 Dec 2021 23:08:00 +0000

No suelo realizar publicaciones de este tipo pero considero este caso como una excepción.

“Log4j” o “Log4Shell” se han convertido en trending topic no solo en las comunidades de Ciberseguridad sino también en los entornos tecnológicos en general.

Si hablásemos de un “Top Vulnerabilidades 2021” está claro que se lo llevarían las asociadas a Apache Log4j, el revuelo de esto no está tanto por el número de vulnerabilidades publicadas y su gravedad, sino por el impacto de afectación que está teniendo en una enorme cantidad de productos y servicios. El mayor problema es identificar las aplicaciones que lo usan, en muchos casos las empresas carecen de un inventario actualizado de las aplicaciones que utilizan. El inventario es fundamental en materia seguridad.

Detectar, alertar y bloquear fuerza bruta a RDP

Tue, 16 Nov 2021 21:10:00 +0000

Antes de nada comentar que es una muy mala práctica y está totalmente desaconsejado publicar hacia internet servicios de escritorio remoto. RDP es de los servicios más comprometidos por atacantes externos, con más intentos de ataques y que facilitan un vector de entrada directo a la red de una empresa si el acceso se configura de esta forma.

En el caso de tener que publicar RDP a internet -sin una VPN o una conexión intermedia hacia un equipo bastión- aunque sea de una manera temporal, hay que hacerlo de la forma “más segura” posible.

Seth: Ataques MITM a conexiones RDP y mitigación

Sat, 15 May 2021 17:30:00 +0000

Seth es una herramienta desarrollada en python y bash que nos permite realizar un ataque MITM man in the middle en conexiones RDP aprovechándose una configuración insegura como es el NO habilitar la autenticación a nivel de red NLA para conexiones de escritorio remoto.

Como requerimiento previo para usar Seth es necesario tener instalado arpspoof por lo que será necesario instalar el paquete dsniff.

apt install dsniff -y

Clonar el repositorio de Seth.

Firmar scripts PowerShell [Parte 2 de 2]: hardening con CA ADCS y despliegue por GPO

Thu, 25 Mar 2021 19:02:00 +0000

Firmar scripts PowerShell Link to heading

Continuando con el artículo sobre cómo firmar scripts PowerShell estableciendo una política de ejecución AllSigned.

En este post comentaré cómo hacer uso de las plantillas de certificados para el propósito de “Firma de código” emitidas por una Entidad de certificación CA implementada en un entorno de dominio haciendo uso del servicio ADCS (Active Directory Certificate Services), desplegando el certificado vía GPO y finalmente realizar una comprobación de integridad del script PowerShell firmado.

Wynis: auditoría de seguridad para Windows y Active Directory

Thu, 18 Feb 2021 18:04:00 +0000

Wynis es un script de auditoría desarrollado por el usuario Sneakysecdoggo que realiza una evaluación de controles de indicadores del CIS (Center for Internet Security) siguiendo los benchmarks del CIS Best Practices Windows 10 y Windows Server 2016. Los puntos de referencia del CIS son reconocidos internacionalmente como estándares de seguridad para la defensa de sistemas y datos de IT contra ciberataques.

Se trata de una herramienta de script similar a Lynis, usada en sistemas basados en Linux.

Firmar scripts PowerShell [Parte 1 de 2]: hardening de ExecutionPolicy

Tue, 09 Feb 2021 16:49:00 +0000

Firmar scripts PowerShell Link to heading

Por motivos de seguridad Windows PowerShell establece unas políticas de ejecución de scripts. Con el fin de evitar posibles ejecuciones de scripts no deseadas. Para poder ejecutar scripts en PowerShell sin problemas, se tendrá que cambiar la política de ejecución (ExecutionPolicy). Por defecto no están definidas y vienen deshabilitadas (Restricted) para todos los scopes.

Instalar RSAT en Windows 10 cuando WSUS bloquea la descarga

Sat, 07 Nov 2020 10:49:00 +0000

A partir de las últimas versiones de Windows 10 las RSAT (Remote Server Administration Tools) ya no se descargan e instalan como un paquete de actualizaciones de Microsoft. Sino que se incorporan como características avanzadas independientes que podemos descargar/instalar directamente desde el nuevo panel de configuración del sistema.

En el caso de que estemos trabajando en una máquina Windows 10 bajo un entorno de actualizaciones controladas por WSUS (Windows Server Update Services) es muy probable que el propio servidor WSUS esté bloqueando la descarga de las características RSAT.

Instalar actualizaciones .msu en Windows con expand y DISM

Wed, 23 Sep 2020 18:43:00 +0000

Cuando nos descargamos parches directamente de Microsoft Update Catalog normalmente el formato estándar suele ser una extensión .msu (Microsoft Update Standalone Installer) del paquete de actualización con su KB identificativo.

Para instalar un paquete de actualización de forma independiente sin hacerlo a través de las Windows Update de Microsoft Windows, es tan sencillo como ejecutar con doble clic el fichero msu de instalación y esperar a que finalice el proceso. Aunque no siempre ocurre así y resulta costoso realizar la instalación.

Restringir el inicio de sesión RDP a Administradores y usuarios específicos (hardening)

Thu, 03 Sep 2020 16:02:00 +0000

Por defecto para poder usar los Servicios de escritorio remoto RDP Remote Desktop Protocol necesitamos un usuario, ya sea local en la máquina remota o de dominio, que tenga permisos para poder conectarse. Para ello dicho usuario debe ser miembro del grupo Administradores locales o bien del grupo Usuarios de escritorio remoto.

Agregar o quitar usuarios o grupos a través de las Propiedades del sistema (sysdm.cpl) sería lo mismo que hacerlo a través del propio grupo local “Usuarios de escritorio remoto” que podemos encontrar en la consola lusrmgr.msc.

Riesgo del periodo de gracia de sudo en Linux: hardening contra cambio de contraseña root

Wed, 03 Jun 2020 18:34:00 +0000

El uso del comando sudo permite a otros usuarios ejecutar acciones o programas con los privilegios de un usuario root. Es una buena práctica utilizar un usuario regular y en el momento de realizar alguna acción que requiera de elevación anteponer el comando sudo.

Nos pedirá las credenciales del usuario actual, si el usuario tiene capacidad de manejarse en un contexto de super-usuario, es decir pertenece al grupo sudo o está agregado en el fichero /etc/sudoers (o a través de visudo), de este modo el usuario podrá utilizar sudo y ejecutar las tareas necesarias como si de root se tratase. Sería algo similar al uso de UAC en Windows.

Política de contraseñas en Linux: login.defs y pam_pwquality

Sun, 19 Apr 2020 17:23:00 +0000

Antes de entrar en materia y comentar donde se definen las directivas de contraseñas en entornos Linux, es necesario conocer los campos que estructuran al fichero donde almacenan cifradas las contraseñas de usuarios locales /etc/shadow.

Este fichero nos muestra el estado actual de cómo se están aplicando estas directivas a los usuarios y que nos resulta útil en procesos de auditoría interna para conocer esta información.

Estructura del fichero /etc/shadow Link to heading

Hardening Linux: ACLs en directorios y ficheros (setfacl y getfacl)

Wed, 12 Feb 2020 18:31:00 +0000

Las ACL en Linux son, como en cualquier otro sistema operativo, listas de control de acceso (Access Control List) que nos permiten especificar a qué usuarios, grupos o procesos del sistema se les otorga unos permisos específicos a los objetos, como pueden ser directorios o ficheros del sistema.

Por defecto en los sistemas de ficheros ext* las ACL ya se encuentran habilitadas. Existen dos comandos para su gestión:

getfacl: Muestra información de los permisos de ficheros y carpetas.
setfacl: Establece o modifica las ACL de dichos ficheros y carpetas.

Para conocer el detalle de los argumentos disponibles tanto en getfacl como setfacl podemos consultar su ayuda con man.

Backups locales a Amazon S3 con AWSCLI (PowerShell y Bash)

Sat, 28 Sep 2019 10:35:00 +0000

Hace tiempo que vengo usando este método de realizar mis backups personales, aunque siendo correctos, por definición no se trata realmente del concepto de “Backups” sino de un sistema de sincronización.

Si usando el mismo método almacenara copias durante un periodo de tiempo determinado con una autoeliminación de los backups más viejos, es decir una política de retención donde haya la posibilidad de disponer de puntos de restauración dentro de las fechas establecidas en la política de retención, así como la posibilidad de almacenar un histórico de copias en frío en fechas más viejas.

WMI Explorer: restricción con filtros WMI en GPO y querys en SCCM

Wed, 04 Sep 2019 05:15:00 +0000

Los filtros WMI (Instrumental de administración de Windows) en las Políticas de grupo (GPO) permiten aplicar políticas de manera más flexible a los clientes mediante el uso de diferentes reglas. Un filtro WMI es un conjunto de consultas WMI (se usa el lenguaje de consulta WMI/WQL) que se puede usar para apuntar a las máquinas a las que se debe aplicar una política de grupo específica.

Por ejemplo, usando el filtro WMI GPO, puede aplicar una política vinculada a una OU solo a las máquinas que ejecutan Windows 10 (una política con dicho filtro WMI no se aplicará a las computadoras con otras versiones de Windows).

Compartir recursos con Samba sin auth entre Linux y Windows

Mon, 26 Aug 2019 19:30:00 +0000

Para poder compartir recursos Samba desde Linux a Windows sin usar ningún login usuario/password de modo que sea un acceso invitado, debemos configurar una serie de directivas en el fichero de configuración de Samba.

Configuración insegura
chmod 777 + usershare allow guests = yes + security = SHARE expone el recurso a cualquiera con acceso de red, sin autenticación ni control de acceso. Úsalo únicamente en una red de laboratorio aislada o LAN cerrada de máquinas de confianza; nunca en una red con clientes desconocidos o accesible desde Internet.

Renovar SSL: comprobar coincidencia certificado/clave/CSR (OpenSSL)

Thu, 01 Aug 2019 07:27:00 +0000

Al renovar los certificados de un servidor web podemos encontrarnos con errores en el momento de sustitución de los ficheros de certificados.

Apache + configuración SSLCipher strong


# SSLCiphers strong encryption
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder on
SSLCompression off
SSLSessionTickets off

# SSL certs config
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/web/public.crt
SSLCertificateKeyFile /etc/apache2/ssl/web/private.key
SSLCertificateChainFile /etc/apache2/ssl/web/intermediate.crt

Nginx + configuración SSLCipher strong

ssl on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

# Fix 'The Logjam Attack'.
ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
ssl_dhparam /etc/ssl/dh2048_param.pem;

#SSL certs config
ssl_certificate /etc/nginx/ssl/web/intermediate.crt;
ssl_certificate_key /etc/nginx/ssl/web/private.key;

CA Bundle Link to heading

Si disponemos de un fichero CA Bundle no es otra cosa que un certificado intermediate y raíz de la CA en un solo archivo, uno detrás del otro, debes combinarlos en uno solo para tener un CA_bundle completo. Los certificados raíz no son necesarios cuando se instala el certificado, para la instalación es suficiente activar en el servidor el correspondiente certificado intermediate.

fail2ban: control de ataques de fuerza bruta en servicios Linux

Wed, 17 Jul 2019 17:22:00 +0000

fail2ban es una aplicación IDPS (Intrusion Detection and Prevention Systems) que supervisa las conexiones externas de direcciones IPs a servicios internos, se puede parametrizar para bloquear los intentos de accesos externos por fuerza bruta. En base al cumplimiento de las directivas definidas y asociadas a determinados servicios.

fail2ban detecta conexiones que puedan ser anómalas y bloquea la IP pública que intenta acceder a dichos servicios por lo que sería un sistema activo (analiza, detecta y actúa al momento), lo hace añadiendo reglas iptables rechazando las conexiones procedentes de esa dirección IP pública.

Migración FRS → DFSR en controladores de dominio Windows Server (dfsmig)

Wed, 17 Apr 2019 19:30:00 +0000

En el caso que tengamos un controlador de dominio Windows Server 2008 R2 con replicación FRS (File Replication Service) y se necesite migrar a unos nuevos controladores de dominio Windows Server 2019 que haga uso del sistema de replicación DFS (Distributed File System) habría que realizar una migración de los controladores viejos a un sistema de replicación DFS.

Elevar el nivel funcional Link to heading

Primero será necesario elevar el nivel funcional del dominio en los controladores de dominio viejos. El nivel funcional determina las características de los Servicios de dominio de Active Directory (AD DS) que están habilitadas en un dominio o bosque. El nivel funcional del bosque limita al nivel funcional del dominio y solo afecta a los servicios de AD de los controladores de dominio, en el caso de tener un servicio DHCP, IIS, WSUS, etc. no se verían afectados.

Fallos de replicación FRS/DFSR en Active Directory: forzar sincronización (Burflags)

Fri, 12 Apr 2019 17:08:00 +0000

Replicación FRS y DFSR Link to heading

FRS (File Replication Service) servicio para distribuir archivos compartidos y objetos de directiva de grupo entre controladores de dominio a través del recurso C:\Windows\SYSVOL. Windows Server 2003 R2 y Windows Server 2008 son compatibles con DFS (Distributed File System) y el servicio de replicación de archivos.
DFSR (Distributed File System Replication) disponible por defecto a partir de Windows Server 2008 R2, reemplaza al sistema FRS para la replicación del recurso SYSVOL en los servicios de dominio de Active Directory. DFS replica los objetos de configuración almacenados de Active Directory.

Gestión de backups CIFS a servidor FTP remoto con rsync

Tue, 12 Mar 2019 21:00:00 +0000

Una forma de realizar backups de ficheros o directorios independientes entre un sistema Windows y servidor FTP remoto y los ficheros a realizar el backup están en un recurso compartido CIFS (SMB) de Windows, si disponemos de un sistema Linux podremos montar en dos directorios el recurso compartido Windows y el servidor FTP remoto. A posteriori realizar la copia sincronizada con rsync entre el directorio montado con CIFS y el directorio remoto FTP donde se almacenará la copia.

vSphere Web Client: opciones deshabilitadas en la VM

Wed, 27 Feb 2019 20:30:00 +0000

Este troubleshooting está recogido en la base de conocimiento.

https://kb.vmware.com/s/article/2048748

El no poder ver las opciones habilitadas para poder editar la configuración entre otras de la VM pueden ser debido a varias causas, las más habituales puede ser por la configuración de permisos o por tareas ejecutándose en segundo plano.

Figura 1: Opciones deshabilitadas en la máquina virtual en vSphere web client.

Resetear password SSO Administrator@vsphere.local en vCenter (VCSA)

Mon, 11 Feb 2019 20:30:00 +0000

Para resetear la password SSO del usuario “Administrator@vsphere.local” de vCenter. Accedemos a la gestión del VCSA (vCenter Server Appliance) por el puerto 5480 con el usuario root y password.

https://IP-vCenter_o_hostname:5480

Una vez en el appliance de vCenter, en la sección de Acceso marcamos:

Habilitar inicio de sesión en SSH.
Habilitar el shell Bash.

Figura 1: Habilitar el acceso SSH y Shell Bash para VCSA.

Cifrar passwords con PowerShell

Fri, 18 Jan 2019 19:30:00 +0000

Con PowerShell podemos generar o almacenar contraseñas simétricas, secretos (tipo API Key o Access Token) o simplemente cadenas de texto y guardarlas cifradas de forma segura en ficheros de scripts Powershell.

En un caso práctico este método lo llevo utilizando ya un tiempo para almacenar las contraseñas necesarias que se usan en scripts automatizados para realizar en este caso copias de seguridad.

https://github.com/adrianlois/Automatizar-Backups-FTP-PowerShell

Crear passwords cifradas con PowerShell para usar desde el mismo usuario Link to heading

Cuando establecemos una password en Powershell y la volcamos en un fichero, el fichero que contiene la password cifrada solo se podría usar desde el mismo usuario que la estableció.

Transferir roles FSMO en Windows Server y purgar servicios de Active Directory

Thu, 27 Dec 2018 22:30:00 +0000

Los roles de maestros de operaciones FSMO (Flexible Single Master Operations) es una característica de Active Directory. Se trata de un conjunto de tareas de un controlador de dominio usadas principalmente para la replicación entre controladores de dominio.

Existen 5 roles FSMO en un Active Directory:

Schema Master (Maestro de Esquema). Uno por Bosque.
Domain Naming Master (Maestro de Nomenclatura de Dominios). Uno por Bosque.
RID Master - Relative Identifier Master (Maestro Identificador Relativo). Uno por Dominio.

Docker Cheat Sheet: comandos y guía de referencia

Tue, 11 Dec 2018 20:00:00 +0000

Llevo una temporada trabajando con el sistema de contenedores de Docker, poco a poco fui recopilando los comandos de Docker que iba utilizando a través de su web oficial.

Creé un repositorio para irlo actualizando paulatinamente con la referencia de estos comandos de Docker.

https://github.com/adrianlois/Comandos-Docker-Cheat-Sheet

En la medida de lo posible iré actualizando esta entrada con el nuevo contenido que vaya incorporando al repositorio de Github.

Instalación Docker en Ubuntu 18.04 Link to heading

Instalación Docker Link to heading

Actualizar los repositorios existentes.

Docker Swarm en AWS con Auto Scaling Groups y Elastic Load Balancing

Thu, 06 Dec 2018 14:45:00 +0000

Implementación de Docker Swarm en Amazon Web Services usando Auto Scaling Groups y Elastic Load Balancing Link to heading

En esta entrada quiero hacer referencia al proyecto de fin de curso del ciclo superior de Administración de Sistemas Informáticos y Redes que presenté en Noviembre de 2018.

Saludos!

Montar FTP/FTPS remoto en Linux con CurlFtpFS y SSHFS

Fri, 16 Nov 2018 21:22:00 +0000

Para montar una carpeta de un directorio FTP o FTPS remoto en un sistema Linux y acceder a ella de forma local como un volumen más del sistema. Se puede usar CurlFtpFS o SSHFS.

CurlFtpFS Link to heading

CurlFtpFS lo usaremos si no disponemos de conexión SSH hacia el servidor FTP remoto (la transferencia de datos es más lenta).

Instalamos curlftpfs.

sudo apt install curlftpfs

Creamos el directorio en el que montaremos el FTP/FTPS.

Credenciales almacenadas en caché de RDP: riesgos y mitigación

Sat, 03 Nov 2018 18:23:00 +0000

En el artículo anterior había comentado sobre la Gestión y recuperación de credenciales almacenadas en recursos y servicios de Windows. En relación a esto quiero abordar el caso concreto del almacenamiento de credenciales en caché para el servicio de RDP, su comportamiento por defecto, riesgos de seguridad que esto supone y cómo mitigarlos correctamente.

Windows permite de forma predeterminada que el cliente de Escritorio Remoto (RDP) recuerde las credenciales introducidas en sesiones previamente establecidas.

Licencias RDP entre Windows Server 2016 y Windows Mobile (RDM, Windows CE, RDP 5.x/6.x)

Thu, 19 Jul 2018 19:30:00 +0000

Actualmente RDP (Remote Desktop Protocol) está en versión 10.x y versiones más actualizadas que incluyen importantes mejoras de seguridad. Mejoras como una mayor longitud de clave generada por el servidor de licencias RDS 4096 bits con un algoritmo de seguridad SHA256 soportando SSL/TLS y NLA (Network Level Authentication).

Versiones iguales o inferiores a RDP 6.x no soportan las características anteriores. El límite de longitud para las claves es de 2048 bits con algoritmo de seguridad SHA1 (Secure Hash Algorithm 1).

Servidores y modo de licencias CAL de Servicios de Escritorio Remoto (RDS)

Mon, 09 Jul 2018 19:00:00 +0000

Este ejemplo sería aplicable para un entorno en la que disponemos de varios Windows Server. Uno de ellos será el que tendrá el rol instalado de Administrador de licencias de Servicios de Escritorio remoto (RDS - Remote Desktop Services) en el que instalaremos licencias CAL (Client Access Licenses) ya sean por usuario o por dispositivo.

En este caso habrá 5 licencias CAL por usuario para RDS.

OpenSSL: convertir certificados digitales (PFX, CSR, PEM, CRT, CER) y clave privada

Sat, 09 Sep 2017 18:29:00 +0000

En Windows Server cuando se genera un certificado autofirmado por el propio servidor este se puede exportar por defecto en formato .pfx. Los certificados en formato .pfx contienen tanto la clave pública como la privada.

Tipos de formatos más frecuentes de certificados Link to heading

.CSR (Certificate Signing Request): Sería el archivo generado normalmente por el servidor que usará el certificado SSL. El CSR contiene información relativa a la organización.
.KEY: Es el archivo de clave privada para cifrar las solicitudes.
.DER (Distinguish Encoding Rules): Suelen tener la extensión CRT o CER. Es un tipo de codificación de certificados X.509, NO un tipo de certificado. Es un formato binario o raw.
.CRT .CERT .CER .PEM (Privacy Enhanced Mail): Ambos son usados indistintamente. .pem contiene el certificado y la clave, mientras que un fichero .crt solo contiene el certificado. Generalmente codificado en Base64, encerrado entre “—BEGIN CERTIFICATE—” y “—END CERTIFICATE—”.
.CRL (Certificate Revocation List): Fichero que contiene una lista de revocación de certificados.
.P7B .P7C: Estructura PKCS#7 SignedData sin datos, solo certificado(s) o CRL(s)
.PKCS12 (PKCS #12) .P12 .PFX: Se usa en servidores Windows. Contiene todos los archivos en un único archivo, tanto la clave pública como la clave privada asociada, generada por el servidor en el momento en el que se generó el CSR.

Si necesitamos extraer la clave privada podemos usar OpenSSL el cual utilizará uno de los estándares de criptografía PKCS (Public-Key Cryptography Standards) concretamente PKCS#12 (formatos .PFX) que define un formato de fichero usado comúnmente para almacenar claves privadas con su certificado de clave pública protegido mediante clave simétrica (es decir, una passphrase o contraseña).

Administrar permisos de un servicio de Windows sobre un objeto

Sun, 06 Aug 2017 08:00:00 +0000

Definimos objeto a un fichero, carpeta, unidad, etc. Todo aquello en lo que se puedan administrar permisos NTFS en el caso de Windows.

Con los permisos NTFS de Windows podemos gestionar las DACL (Discretionary Access Control List) son listas de control de acceso discrecional en las que se pueden controlar quien es el propietario de un objeto y especifica quién tiene permiso y quién no para acceder a dicho objeto.

Sabemos que se pueden conceder DACL a usuarios locales del sistema, de un dominio, equipos o grupos de usuarios sobre uno o varios objetos (ficheros, carpetas o unidades).

Cómo protegerse de ataques ARP Spoofing

Thu, 03 Aug 2017 08:00:00 +0000

Siguiendo el tema de las entradas en las que comenté los ataques MITM en la tabla ARP.

El éxito de esta técnica de ataque radica en que dentro de una misma red local es posible la suplantación de la dirección MAC de la puerta de enlace, por la dirección MAC del atacante en la tabla ARP del equipo atacado. De modo que todo el tráfico que se genere desde en el equipo atacado será interceptado por el equipo atacante y este a su vez lo redireccionará a la dirección de la puerta de enlace legítima de la red local, de esta manera el equipo atacado no será consciente de que su tráfico de red se esté monitoreando, a menos que este consulte su tabla ARP (arp -a).

Automatizar backups FTPS con WinSCP, Batch, PowerShell y 7zip

Tue, 18 Jul 2017 08:00:00 +0000

Hace tiempo que quería comentar el tema de como hago mis copias de seguridad de la información personal. Intentaré explicar de forma detallada y clara todo el proceso.

Repositorios Github:

Se pueden realizar copias de seguridad de una manera u otra. Ya sea copiando directamente la información a algún medio extraíble, subiéndola a algún servicio de almacenamiento cloud, copias redundantes en ambos medios, etc. A su vez, cuantas más medidas de seguridad se tomen para cada una de estas técnicas, más segura estará la información, pero también más “pasos” habrá que desencadenar para llegar a ella.

Restablecer password de root y bypass login Linux: shell con GRUB y cómo evitarlo

Tue, 10 May 2016 10:49:00 +0000

Me he dado cuenta de que no tenía ninguna publicación al respecto sobre esto. Se trata de un viejo trick ya conocido por la comunidad, hace un tiempo ya publicara algo similar, pero en esta ocasión lo comento en más detalle y el cómo protegerse de este tipo de técnica de bypass login en sistemas Linux.

Si tenemos acceso físico a la máquina o al hipervisor de una máquina virtual Linux, para poder restablecer la password de root, dejarla en blanco o cualquier otra acción privilegiada como acceder a los volúmenes del sistema para realizar un volcado o copia de los ficheros /etc/passwd y /etc/shadow con el fin de realizar un cracking de contraseñas por fuerza bruta a sus hashes, es aprovechar un pequeño hack -si se puede llamar así- usando el gestor de arranque múltiple GNU Grub (multiboot boot loader).

¿Cómo se procesan las GPO en un dominio? (Directivas de grupo)

Fri, 14 Aug 2015 07:42:00 +0000

Competencia entre contenedores.

Una GPO, como ya hemos visto anteriormente, puede ser contenida por equipos locales, sitios, dominios y unidades organizativas (en adelante OU).

Como un usuario, por ejemplo, estará en un equipo local que a su vez se ubicará en un sitio, pertenecerá a un dominio y será miembro de una OU se ve claramente que se puede dar el caso de que en el equipo local se aplique una GPO, en el sitio otra, otra para el dominio y otra para la OU (e incluso para la OU hija, de tercer nivel, etc.).

PNPUTIL: instalar controladores en el DriverStore de Windows

Thu, 11 Dec 2014 13:01:00 +0000

Pnputil.exe es una pequeña herramienta que se usa mediante una command prompt de manera sencilla.

Esta utilidad nos permite principalmente; agregar y/o eliminar drivers o controladores que están preinstalados en la base de datos de nuestro MS Windows.

Lo cual esto nos puede resultar útil si necesitamos instalar equipos en producción en un entorno corporativo en el que se disponen de múltiples modelos de impresoras. Podemos preestablecer en una imagen o maqueta del sistema estos drivers ya instalados como si se trataran de forma nativa en Windows. Y de este modo ahorrarnos el buscar/copiar el driver de dichas impresoras en el equipo en cuestión.

Hardening en Windows: habilitar/deshabilitar recursos compartidos administrativos (C$, ADMIN$)

Mon, 10 Sep 2012 22:38:00 +0000

Windows crea una serie de recursos compartidos por defecto que están “ocultos”, pero que en realidad pueden ser accesibles de una forma muy sencilla mediante una ruta UNC tipo \nombreDeEquipo o dirección IP\nombreRecursoCompartido$. Por ejemplo para acceder al disco local del equipo remoto \\192.168.1.12\c$. Si en el equipo hay definido un usuario con password nos solicitará estas credenciales para poder acceder.

En entornos corporativos bajo un dominio Active Directory es habitual que el personal de TI use estos recursos compartidos administrativos para una gestión y administración de las máquinas. En equipos personales (que no estén unidos a un dominio) recomiendo deshabilitar los recursos compartidos administrativos si no son necesarios.

Tipos de firewall: stateless, stateful, SPI, AIC, DPI, NIDS, IDS/IPS, proxy

Sat, 09 Jun 2012 22:00:00 +0000

En el blog de Oscar Gerometta me encontré un estupendo artículo donde habla de los tipos de firewalls y en qué se basan los firewalls con y sin estado, SPI, AIC, DPI, IDS/IPS/IDPS y Proxy.

Después algunos apuntes a mayores que anoté y adaptarlo un poco comparto el artículo como apunte personal y para quien le pueda resultar de utilidad.

¿Qué es un firewall? Link to heading

Un firewall es un sistema que fuerza la implementación de políticas de control de acceso entre 2 o más dominios de seguridad.

Ataques MITM: ARP Spoofing/Poisoning sobre IPv4 (Parte 2/2)

Sat, 26 May 2012 01:36:00 +0000

¿Cómo prevenir o evitar ataques MITM - ARP Spoofing/Poisoning? Link to heading

Una de las maneras para prevenir el ARP Spoofing de manera manual, es el uso de tablas de caché ARP de forma estática, de forma que no existe caché dinámica, cada entrada de la tabla mapea una dirección MAC con su correspondiente dirección IP.

Permisos NTFS y ACLs en usuarios y grupos de Windows

Sun, 24 Apr 2011 15:57:00 +0000

Modificar permisos a usuarios y a grupos sobre objetos, privilegios a cuentas de usuarios y administradores en Windows.

Tenía pensado dividir este artículo en varias partes, ya que es extenso, pero para no tener comentarios en unas entradas y otras sobre el mismo tema, he decidido incluir todo lo relacionado en el mismo post. Aparte, a la hora de buscar en buscadores y en el blog se reflejará toda la información en un mismo artículo.

Hardening on Adrián Lois

Port Knocking: mejorar la seguridad en conexiones SSH

2FA: segundo factor de autenticación en conexiones SSH

Microsoft LAPS: evitar movimientos laterales en Active Directory

Entendiendo el riesgo de seguridad y escenarios comunes en las organizaciones Link to heading

Apache Log4j: vulnerabilidades de Log4Shell

Detectar, alertar y bloquear fuerza bruta a RDP

Seth: Ataques MITM a conexiones RDP y mitigación

Firmar scripts PowerShell [Parte 2 de 2]: hardening con CA ADCS y despliegue por GPO

Firmar scripts PowerShell Link to heading

Wynis: auditoría de seguridad para Windows y Active Directory

Firmar scripts PowerShell [Parte 1 de 2]: hardening de ExecutionPolicy

Firmar scripts PowerShell Link to heading

Instalar RSAT en Windows 10 cuando WSUS bloquea la descarga

Instalar actualizaciones .msu en Windows con expand y DISM

Restringir el inicio de sesión RDP a Administradores y usuarios específicos (hardening)

Riesgo del periodo de gracia de sudo en Linux: hardening contra cambio de contraseña root

Política de contraseñas en Linux: login.defs y pam_pwquality

Estructura del fichero /etc/shadow Link to heading

Hardening Linux: ACLs en directorios y ficheros (setfacl y getfacl)

Backups locales a Amazon S3 con AWSCLI (PowerShell y Bash)

WMI Explorer: restricción con filtros WMI en GPO y querys en SCCM

Compartir recursos con Samba sin auth entre Linux y Windows

Renovar SSL: comprobar coincidencia certificado/clave/CSR (OpenSSL)

CA Bundle Link to heading

fail2ban: control de ataques de fuerza bruta en servicios Linux

Migración FRS → DFSR en controladores de dominio Windows Server (dfsmig)

Elevar el nivel funcional Link to heading

Fallos de replicación FRS/DFSR en Active Directory: forzar sincronización (Burflags)

Replicación FRS y DFSR Link to heading

Gestión de backups CIFS a servidor FTP remoto con rsync

vSphere Web Client: opciones deshabilitadas en la VM

Resetear password SSO Administrator@vsphere.local en vCenter (VCSA)

Cifrar passwords con PowerShell

Crear passwords cifradas con PowerShell para usar desde el mismo usuario Link to heading

Transferir roles FSMO en Windows Server y purgar servicios de Active Directory

Docker Cheat Sheet: comandos y guía de referencia

Instalación Docker en Ubuntu 18.04 Link to heading

Instalación Docker Link to heading

Docker Swarm en AWS con Auto Scaling Groups y Elastic Load Balancing

Implementación de Docker Swarm en Amazon Web Services usando Auto Scaling Groups y Elastic Load Balancing Link to heading

Repositorio Github Link to heading

Documentación del proyecto Link to heading

Presentación Slides Link to heading

Video demo de la prueba de concepto (PoC) Link to heading

Montar FTP/FTPS remoto en Linux con CurlFtpFS y SSHFS

CurlFtpFS Link to heading

Credenciales almacenadas en caché de RDP: riesgos y mitigación

Licencias RDP entre Windows Server 2016 y Windows Mobile (RDM, Windows CE, RDP 5.x/6.x)

Servidores y modo de licencias CAL de Servicios de Escritorio Remoto (RDS)

OpenSSL: convertir certificados digitales (PFX, CSR, PEM, CRT, CER) y clave privada

Tipos de formatos más frecuentes de certificados Link to heading

Administrar permisos de un servicio de Windows sobre un objeto

Cómo protegerse de ataques ARP Spoofing

Automatizar backups FTPS con WinSCP, Batch, PowerShell y 7zip

Restablecer password de root y bypass login Linux: shell con GRUB y cómo evitarlo

¿Cómo se procesan las GPO en un dominio? (Directivas de grupo)

PNPUTIL: instalar controladores en el DriverStore de Windows

Hardening en Windows: habilitar/deshabilitar recursos compartidos administrativos (C$, ADMIN$)

Tipos de firewall: stateless, stateful, SPI, AIC, DPI, NIDS, IDS/IPS, proxy

¿Qué es un firewall? Link to heading

Ataques MITM: ARP Spoofing/Poisoning sobre IPv4 (Parte 2/2)

¿Cómo prevenir o evitar ataques MITM - ARP Spoofing/Poisoning? Link to heading

Permisos NTFS y ACLs en usuarios y grupos de Windows