Category Archives: Seguridad

IIS RDS Seguridad Windows 2012 R2

Publicar una aplicación remota a través de RDWeb de Windows Server 2012 R2. Securizar la navegación mediante Apps.

14/04/2014 Published by: Roberto Tejero

Aprovechando cada proyecto en los que estoy involucrado, hoy vamos a hablar sobre los Servicios de Escritorio Remoto (Remoto Desktop Services – RDS) que Windows Server 2012 R2 nos proporciona.

Nuestra intención es la de facilitar a los usuarios el acceso a internet a través de un navegador que está situado sobre una infraestructura de RDS. Estos servicios de Escritorio remoto, se encuentran ubicados en una red (DMZ) completamente aislada y a la que hemos sometido a un hardening especial (bastionado), para securizar aun mas dicha navegación, incluyendo la descarga y ejecución de ficheros. Este sería un gráfico aproximado:

El proyecto realmente abarca mas factores como que los navegadores puedan ser aplicaciones virtuales publicadas en una infraestructura de RDS, utilizando Microsoft App-V, Vmware ThinApp o XenApp de Citrix, o directamente instalarlas y publicarlas por RDS, o sobre escritorios remotos, o …, hay un sin fin de opciones que podemos adaptar a nuestras necesidades. Como ejemplo sencillo y fácil de montar en un Post, minimizamos la Infraestructura RDS, instalando en el mismo servidor todos los Roles necesarios de Escritorio Remoto (los que están en gris) y publicamos nuestros navegadores:

En la configuración por defecto aparecen ya publicadas tres aplicaciones (Calculadora, WordPad y Paint), así como se ha creado una Colleción inicial denominada «» a la que tienen acceso todos los «Domain Users» de nuestro Dominio:

Si probamos a acceder a nuestro servicio RDWeb (https:///RDWeb) nos aparecerán las siguientes pantalla de Bienvenida (la podemos customizar con logotipo de empresa, etc.):

Y una vez introducidas nuestras credenciales, …. , en mi caso sólo me aparece el Wordpad (muy triste):

Ademas, en nuestra barra de tareas nos aparecerá un icono que nos indica que tenemos o estamos ejecutando «Apliaciones Remotas» y/o «Escritorios Remotos»:

Nos ponemos en marcha. Dentro de nuestro Server Manager, en el apartado de RDS, vamos a publicar Exploradores de Internet, en nuestro caso Chrome, IExplorer, Safari y Firefox.

Procedemos a «Publicar nuestra RemoteApp»:

Una pantalla nosinformará que está recolectando información sobre todos los programas que tiene instalado ese servidor:

De todas ellas elegiremos las deseadas:

Pulsaremos siguiente y, automáticamente se publicarán todas estas aplicaciones (se nos ha colado el Access 2010!!!!):

Podemos darle una vuelta de tuerca mas configurando las propiedades, por ejemplo del Google Chrome:

Tenemos las siguientes propiedades:

General. Donde definimos el nombre de la RemoteApp, el alias, la ruta, el icono a mostrar, si queremos que se publique via web y en qué carpeta queremos hacerlo:

Parámetros. Donde definimos si se necesita configuración o parámetros adicionales a la hora de ejecutar el aplicativo:

Asignación de Usuario.- Si queremos definir un grupo de usuarios que podrán utilizar esta RemoteApp

Asociación de tipo de fichero.- Si queremos asociar algún tipo de fichero que, por defecto, cada vez que lo abramos se ejecute esta RemoteApp.

Y, para que veais que no os engaño, esto es lo que estoy ejecutando y qué programas tengo instalado:

Si todo nos va bien podremos hablar mas adelante de Securizar servidores (bastionado), de virtualizar aplicaciones, etc., Que tengais una buena semana, que es muy corta.

IIS Seguridad Tools

Que hacer si nuestra conexión SSL no es segura. Herramienta IIS Crypto.

21/02/2014 Published by: Roberto Tejero

Hace poco vimos un post sobre cómo testear la seguridad de nuestras conexiones SSL de nuestros publicadores con SSLScan, pues hoy toca ver ¿qué hacemos para solucionar estos problemas?

Me quedé pensando, vale tenemos un problema pero lo que en estos momentos me importa es ¿cómo lo soluciono?

Como casi todo, tenemos dos formas de hacerlo, una manual, picando datos, y otra mas automatizada. Las vemos.

Manual

Esta forma sería la utilizada para corregir/crear una a una las entradas sel registro. En este KB de Microsoft (KB245030) viene muy bien explicado. Qué entradas del registro tenemos que añadir, SSL 2.0, SSL 3.0, TLS 1.0, etc.,

Lo vemos con un ejemplo. Vamos a deshabilitar SSL 2.0:

Iremos a la siguiente entrada del registro HKLMSYSTEMCurrentControlSetControlSecurityProvidersschannelProtocolsSSL 2.0Server
Si no existe, la crearemos. Botón derecho del ratón, New (Nueva) y haremos click en Key (Clave) a la que, obviamente llamaremos Server.
Entramos dentro de esta clave y crearemos una nueva Key (Clave), del tipo DWORD (32-bit) Value. cuyo nombre será Enabled y el valor hexadecimal 0x00000000 (0).
Reiniciaremos nuestro equipo y ya estaría deshabilitado SSL 2.0, aunque siempre viene bien volver a comprobarlo.

Automática

Lo que todos queremos, una herramienta que nos solucione nuestro problema y no nos cree otros adicionales, en este caso vamos a utilizar IIS Crypto, pero hay muchas mas:

¿Que nos aporta IIS Crypto?

Con un simple click protege nuestro site usando las mejores prácticas.
Deshabilitar SSL 2.0 facilmente.
Habilitar TLS 1.1 y 1.2
Deshabilitar otros protocolos y cifrados débiles.
Reordenar las suites de cifrado.
Plantillas para el cumplimiento de las regulaciones guvernamentales y de industria FIPS 140-2 y PCI.

Lo importante, la podemos descargar desde aqui.

¿Sobre qué plataformas podemos utilizarlo? Todas:

Windows Server 2003
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2

Os pongo otro ejemplo de funcionamiento. Tenemos un servidor IIS que una vez le hemos pasado una herramienta para verificada la conexión SSL nos da el siguiente resultado:

Vaya, tenemos SSLv2 128 y 168 bits habilitado y según las normas de nuestra empresa solo se puede aceptar SSLv3.

Verificaremos el registro y, ciertamente no están creadas todas las entradas necesarias para deshabilitar SSLv2, TLS, etc:

¿Qué es lo primero que tenemos que hacer? pues una copia de seguridad del registro, por si acaso pasa algo que siempre viene bien. Ya sabeis, dentro del Registro, en File, Export e indicamos una ruta accesible para guardar nuestra copia «global» o «parcial» del registro.

Pues nada, ejecutamos nuestra aplicación IIS Cyrpto y seleccionamos, por ejemplo, que nuestros IIS solo puedan utilizar SSLv3 y el cifrado superior a 128 Bits, ya sea MD5 o SHA:

Pulsaremos el botón de «Apply» (aplicar) y nos aparecerán los siguientes mensajes indicandonos que los parámetros han sido cambiados:

Asi como el mensaje de que tenemos que reiniciar nuestro servidor:

Espero que os sea util.

Bibliografía:

– SSLShopper.

Directorio Activo Seguridad Servicios Windows Windows 2008 Windows 2008 R2 Windows 2012 Windows 2012 R2 Windows 7 Windows 8 Windows 8.1

Restringir el tráfico RPC de los Controladores de Dominio a un puerto o puertos determinados.

11/02/2014 Published by: Roberto Tejero

Como sabreis, gran parte de la comunicación entre Controladores de Dominio (DC), se realiza a través de RPC (técnica para la comunicación entre procesos en una o más computadoras conectadas a una red). Este tráfico RPC puede ser motivado por distintos servicios que se ejecuten en nuestros DC, como pueden ser:

DHCP.
Replicación de Directorio Activo.
Replicación FRS.
WINS.
Promoción de un Controlador de Dominio,
etc.

¿Cómo funciona RPC?

Para empezar una comunicación RPC, el cliente se conecta al puerto TCP 135 del servidor y solicita un puerto al End Point Mapper (EPM). El EPM del servidor reserva un puerto, denominado puerto dinámico, para este cliente y se lo envía. A partir de este punto, el cliente abre una nueva conexión TCP a dicho puerto del servidor y comienza la comunicación. Aqui os dejo un gráfico sobre un proceso Cliente/Servidor de RPC:

Estos puertos dinámicos RPC, también conocidos como puertos efímeros se distribuyen de la siguiente manera, dependiendo del sistema operativo:

Hasta Windows 2003/XP (del 1025 al 5000) = 3976 puertos en total.
Desde Windows 2008/Vista (del 49152 al 65535) = 16.384 puertos en total.

Hasta aqui todo correcto, pero ¿qué ocurre en zonas desmilitarizadas o DMZ dónde tenemos restringidos determinado tráfico y puertos?

Los puertos que generalmente utilizan los Controladores de Dominio en los servicios básicos son los siguientes:

Service	Port/protocol
RPC endpoint mapper	135/tcp, 135/udp
Network basic input/output system (NetBIOS) name service	137/tcp, 137/udp
NetBIOS datagram service	138/udp
NetBIOS session service	139/tcp
RPC dynamic assignment	Win 2k/2003:1024-65535/tcp Win 2008+:49152-65535/tcp
Server message block (SMB) over IP (Microsoft-DS)	445/tcp, 445/udp
Lightweight Directory Access Protocol (LDAP)	389/tcp
LDAP ping	389/udp
LDAP over SSL	636/tcp
Global catalog LDAP	3268/tcp
Global catalog LDAP over SSL	3269/tcp
Kerberos	88/tcp, 88/udp
Domain Name Service (DNS)	53/tcp1, 53/udp

Asi que nuestros Firewalls tendrán que tener abierto estos puertos para la comunicación entre DCs y clientes pero ¿qué ocurre con el tráfico RPC si hemos dicho que es dinámico? El hecho de tener que abrir un rango tan grande de puertos en el Firewall implica aumentar el riesgo de ataque ya que son 16384 puertos los que se exponen. Posible solución: restringir dicho tráfico a un número fijo de puerto o puertos.

Nosotros, por ejemplo, lo que queremos es forzar el tráfico RPC entre los puertos 5000-5100. Recordar, que es necesario y como mínimo, dejar un rango de 100 puertos consecutivos para un mejor funcionamiento y evitar cuellos de botella.

Tenemos tres métodos de realizarlo, dependerá de los servicios que queramos restringir:

Método 1 – Entradas en el registro sobre la configuración de los servicios de replicación de Directorio Activo.

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNTDSParameters y añadimos la clave DWORD TCP/IP Port con el valor del puerto que queremos utilizar (incluyendo los espacios en blanco).

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetlogonParameters y añadimos la clave DWORD DCTcpipPort con el valor del puerto que queremos utilizar (incluyendo los espacios en blanco).

Método 2 – Para configurar en el Servicio Firewall de Windows el rango de puertos (para Windows 2008/Vista en adelante):

netsh int ipv4 set dynamicport tcp start=5000 num=1000
netsh int ipv4 set dynamicport udp start=5000 num=1000
netsh int ipv6 set dynamicport tcp start=5000 num=1000
netsh int ipv6 set dynamicport udp start=5000 num=1000

Y para verificar que está configurado:

netsh int ipv4 show dynamicport tcp
netsh int ipv4 show dynamicport udp
netsh int ipv6 show dynamicport tcp
netsh int ipv6 show dynamicport udp

Método 3 – Para los servicios de comunicaciones de Windows. También afecta a las comunicaciones de Directorio Activo. Volvemos a trabajar en el Registro:

HKEY_LOCAL_MACHINESoftwareMicrosoftRpc

REG_MULTI_SZ: 5000-5100
PortsInternetAvailable: REG_SZ: Y
UseInternetPorts: REG_SZ: Y

Espero que os sea util. En un próximo post utilizaremos la herramienta «PortQuery» para verificar el tráfico RPC entre controladores de dominio.

Bibliografia:

IIS Seguridad Tools

SSLScan testeando la seguridad de una conexión SSL en nuestros publicadores.

30/01/2014 Published by: Roberto Tejero

En uno de mis últimos proyectos había que revisar la seguridad de nuestros publicadores web situados en una DMZ, concretamente revisar las posibles vulnerabilidades existentes en el puerto 443.

Recordé a mi compañero John, experto en Seguridad, que me había hablado sobre una herramienta denominada SSLScan y desde la Comunidad DragonJar, hace poco había comentado algo sobre ella. Bien pues os hago una breve introducción.

SSLScan

Es una escaner de puertos SSL la cual nos facilita información sobre que tipo de cifrado soporta el puerto al que nos conectamos, que tipo de cifrado es el preferido, que protocolos SSL están soportados, información sobre el certificado instalado, permitiéndonos una salida a fichero en formato XML con el que, posteriormente, podemos elaborar informes, etc.

SSLScan [Opciones] [host:puerto | host]

Opciones:
– Targets=<file> Un archivo que contiene una lista de hosts para comprobar. Los anfitriones pueden ser suministrados con los puertos de host (por ejemplo: puerto).
– no-failed Indique solamente cifras aceptadas (por defecto es de enumerar todos los cifrados).
– SSL2 Sólo comprobar cifras SSLv2.
– SSL3 Sólo comprobar cifras SSLv3.
– pk=<file> Un archivo que contiene la clave privada o PKCS # 12 del archivo que contiene una clave privada / certificado par (como la producida por MSIE y Netscape).
– pkpass=<password> La contraseña de la clave privada o archivo PKCS # 12.
– certs=<file> Un archivo que contiene certificados de cliente con formato PEM/ASN1.
– starttls Ejecuta un TLS de inicio para poner a prueba las capacidades SSL de un servicio de SMTP con soporte TLS. Esta opción fuerza automáticamente cifrados TLS, no es necesario especificarlo.
– xml=<file> Los resultados se exportan a un archive XML.
– version = Muestra la version del programa
– help = Muestra la pantalla de ayuda

Lo podemos descargar desde aqui, Sourceforge.net.

Os dejo un ejemplo:

                   _
___ ___| |___ ___ __ _ _ __
/ __/ __| / __|/ __/ _` | ‘_
__ __ __ (_| (_| | | | |
|___/___/_|___/_____,_|_| |_|

Version 1.8.2-win
http://www.titania.co.uk
Copyright Ian Ventura-Whiting 2009
Compiled against OpenSSL 0.9.8m 25 Feb 2010

Testing SSL server www.bolsasymercados.es on port 443

Supported Server Cipher(s):
Rejected SSLv2 168 bits DES-CBC3-MD5
Rejected SSLv2   56 bits DES-CBC-MD5
Rejected SSLv2 128 bits IDEA-CBC-MD5
Rejected SSLv2   40 bits EXP-RC2-CBC-MD5
Rejected SSLv2 128 bits RC2-CBC-MD5
Rejected SSLv2   40 bits EXP-RC4-MD5
Rejected SSLv2 128 bits RC4-MD5
Rejected SSLv3 256 bits ADH-AES256-SHA
Rejected SSLv3 256 bits DHE-RSA-AES256-SHA
Rejected SSLv3 256 bits DHE-DSS-AES256-SHA
Rejected SSLv3 256 bits AES256-SHA
Rejected SSLv3 128 bits ADH-AES128-SHA
Rejected SSLv3 128 bits DHE-RSA-AES128-SHA
Rejected SSLv3 128 bits DHE-DSS-AES128-SHA
Rejected SSLv3 128 bits AES128-SHA
Rejected SSLv3 168 bits ADH-DES-CBC3-SHA
Rejected SSLv3   56 bits ADH-DES-CBC-SHA
Rejected SSLv3   40 bits EXP-ADH-DES-CBC-SHA
Rejected SSLv3 128 bits ADH-RC4-MD5
Rejected SSLv3   40 bits EXP-ADH-RC4-MD5
Rejected SSLv3 168 bits EDH-RSA-DES-CBC3-SHA
Rejected SSLv3   56 bits EDH-RSA-DES-CBC-SHA
Rejected SSLv3   40 bits EXP-EDH-RSA-DES-CBC-SHA
Rejected SSLv3 168 bits EDH-DSS-DES-CBC3-SHA
Rejected SSLv3   56 bits EDH-DSS-DES-CBC-SHA
Rejected SSLv3   40 bits EXP-EDH-DSS-DES-CBC-SHA
Accepted SSLv3 168 bits DES-CBC3-SHA
Rejected SSLv3   56 bits DES-CBC-SHA
Rejected SSLv3   40 bits EXP-DES-CBC-SHA
Rejected SSLv3 128 bits IDEA-CBC-SHA
Rejected SSLv3   40 bits EXP-RC2-CBC-MD5
Accepted SSLv3 128 bits RC4-SHA
Accepted SSLv3 128 bits RC4-MD5
Rejected SSLv3   40 bits EXP-RC4-MD5
Rejected SSLv3    0 bits NULL-SHA
Rejected SSLv3    0 bits NULL-MD5
Rejected TLSv1 256 bits ADH-AES256-SHA
Rejected TLSv1 256 bits DHE-RSA-AES256-SHA
Rejected TLSv1 256 bits DHE-DSS-AES256-SHA
Rejected TLSv1 256 bits AES256-SHA
Rejected TLSv1 128 bits ADH-AES128-SHA
Rejected TLSv1 128 bits DHE-RSA-AES128-SHA
Rejected TLSv1 128 bits DHE-DSS-AES128-SHA
Rejected TLSv1 128 bits AES128-SHA
Rejected TLSv1 168 bits ADH-DES-CBC3-SHA
Rejected TLSv1   56 bits ADH-DES-CBC-SHA
Rejected TLSv1   40 bits EXP-ADH-DES-CBC-SHA
Rejected TLSv1 128 bits ADH-RC4-MD5
Rejected TLSv1   40 bits EXP-ADH-RC4-MD5
Rejected TLSv1 168 bits EDH-RSA-DES-CBC3-SHA
Rejected TLSv1   56 bits EDH-RSA-DES-CBC-SHA
Rejected TLSv1   40 bits EXP-EDH-RSA-DES-CBC-SHA
Rejected TLSv1 168 bits EDH-DSS-DES-CBC3-SHA
Rejected TLSv1   56 bits EDH-DSS-DES-CBC-SHA
Rejected TLSv1   40 bits EXP-EDH-DSS-DES-CBC-SHA
Accepted TLSv1 168 bits DES-CBC3-SHA
Rejected TLSv1   56 bits DES-CBC-SHA
Rejected TLSv1   40 bits EXP-DES-CBC-SHA
Rejected TLSv1 128 bits IDEA-CBC-SHA
Rejected TLSv1   40 bits EXP-RC2-CBC-MD5
Accepted TLSv1 128 bits RC4-SHA
Accepted TLSv1 128 bits RC4-MD5
Rejected TLSv1   40 bits EXP-RC4-MD5
Rejected TLSv1    0 bits NULL-SHA
Rejected TLSv1    0 bits NULL-MD5

Prefered Server Cipher(s):
SSLv3 128 bits RC4-MD5
TLSv1 128 bits RC4-MD5

SSL Certificate:
Version: 2
Serial Number: -4294967295
Signature Algorithm: sha1WithRSAEncryption
Issuer: /C=US/O=Thawte, Inc./CN=Thawte SSL CA
Not valid before: Jun 29 00:00:00 2012 GMT
Not valid after: Jun 29 23:59:59 2014 GMT
Subject: /C=ES/ST=Madrid/L=Madrid/O=Bolsas Mercados Espanoles soc Holding Mercados Sistemas Finan SA/OU=Desarrollo de Mercado/CN=www.bolsasymercados.es
Public Key Algorithm: rsaEncryption
RSA Public Key: (2048 bit)
Modulus (2048 bit):
00:dd:2c:c5:f1:76:d0:05:41:5f:7a:c7:57:a4:6b:
61:1e:91:27:f4:cf:1a:3f:48:1d:80:6d:1e:80:6e:
aa:f3:b1:44:36:3c:a8:7a:79:74:ea:41:90:39:5d:
3c:70:2d:fa:08:15:54:c4:0c:3a:61:0c:81:ba:d7:
d9:16:b5:a9:5d:99:06:c5:74:73:c3:b5:12:ab:38:
1e:97:3a:21:72:99:05:b5:a8:51:ab:9c:37:25:cc:
1f:08:f8:a9:b9:81:fb:53:13:bc:d8:7c:d8:eb:1f:
75:46:c7:f1:40:bd:e8:7f:c1:fe:8c:63:cf:75:20:
53:36:4f:23:d4:13:ea:02:a9:b6:fb:07:6a:9c:e8:
3f:aa:64:fa:90:e0:4a:0f:aa:0c:dc:0d:67:c7:25:
37:ee:06:fd:e8:4e:cf:82:bd:5e:66:2b:92:80:9f:
95:88:5c:3e:87:0c:e2:ea:8e:3e:ef:7a:f8:d8:6e:
a0:cb:ef:1a:28:a1:73:ec:d1:b2:ac:d6:1d:ea:84:
c8:47:8f:13:8e:66:b1:bf:b8:c0:e5:49:09:1c:e0:
15:03:dd:d0:ae:68:b1:33:78:8a:79:43:29:14:0b:
8d:9e:65:ef:bc:c3:bc:bc:1e:0d:0d:bb:3d:2d:75:
dd:63:ce:56:6a:36:85:cb:3b:ac:34:96:87:69:fa:
30:31
Exponent: 65537 (0x10001)
X509v3 Extensions:
X509v3 Subject Alternative Name:
DNS:www.bolsasymercados.es
X509v3 Basic Constraints: critical
CA:FALSE
X509v3 CRL Distribution Points:
URI:http://svr-ov-crl.thawte.com/ThawteOV.crl

X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
Authority Information Access:
OCSP – URI:http://ocsp.thawte.com

Verify Certificate:
unable to get local issuer certificate

De las opciones más útiles está la de poder cargar en un fichero un listado de dominios/direcciones para poder erscanearlas una detrás de otra.

[youtube=http://www.youtube.com/watch?v=pQJfZr3HJRk&w=420&h=315]

Otros artículos muy interesants al respecto:

Exchange 2010 Seguridad

Update Rollup 4 para Service Pack 3 de Exchange 2010 disponible.

12/12/2013 Published by: Roberto Tejero

Hace nada y menos podiamos ver en este post la disponibilidad del UR 3 para Exchange 2010, pues como consecuencia de la aprición del Boletin de Seguridad MS13-105 se ha aprobado para la distribución el Update Rollup 4 para Exchange 2010, como para toda la familia de este producto, Exchange 2007, Exchange 2010 SP2 y Exchange 2013.

Nos centramos aqui os dejo los links de rigor:

Centro de Descargas para el Update Rollup, aqui.
Descripción del Update Rollap, aqui.

Y poco mas que aportar, repetiros lo de siempre, que tengais cuidado cuando lo instaleis, ya sabeis que primero instalemos el Update Rollup en los CAS, HUB y por último en los MBX, que si tenemos DAG que sigamos el protocolo habitual de dejar un nodo sin bases de datos activas para instalar el update rollup, etc.

Suerte a todos.

Directorio Activo Recursos Seguridad Tools

¿Tenemos el control de los permisos en nuestro Directorio Activo? – Herramienta AD ACL Scanner.

17/06/2013 Published by: Roberto Tejero

El otro día me hacían una gran pregunta ¿Tenemos el control de los permisos en nuestro Directorio Activo? ¿Podemos revisar nuestra delegación de permisos en Directorio Activo?, es más ¿Podemos hacer tales cosas rápidamente.

Desde Suecia con amor nos llega una gran herramienta de consulta. Su Plataforma de PFE’s el pasado mayo editó un Post en su blog (ver aqui), donde hablaban de la herramienta AD ACL Scanner (la podemos descargar desde aqui).

¿Que hace AD ACL Scanner?

¿Quién tiene documentado todos los permisos y la delegación de los mismos en su Directorio Activo? …. Yo no. Mal ejemplo doy. Esto tenemos que cambiarlo.

Bien, esta herramienta genera informes sobre las listas de control de acceso a nuestro Directorio Activo. Ahora ya no tenemos escusa para no documentarlo.

Para ejecutar esta herramienta/script, necesitamos lo siguiente:

PowerShell 2.0 o superior.
Windows 7/Windows Server 2008 o superior.
Habilitar la ejecución de scripts no firmados => Set-ExecutionPolicy Unrestricted , de andar por casa, o si queremos ser mas selectivos, Set-ExecutionPolicy Unrestricted -Scope CurrentUser

¿Cómo creamos un informe de una OU?

Básicamente son tres sencillos pasos:

Hacemos click en el botón de Connect la herramienta se conectará a nuestro Directorio Activo o a la partición que necesitemos, Configuración, Dominio, Esquema o Custom.
Nos aparecerá el arbol del Directorio Activo con todas sus Unidades Organizativas donde podremos ir moviendonos y seleccionando.
Cuando hayamos seleccionado una OU, ejecutaremos el escaneo pertinente, o sea, click en botón Run.

Este es un ejemplo de informe:

Opciones del Escaner:

Por defecto solo se nos mostrará la información sobre la OU en la que estamos. Si queremos también la de todas sus hijas, deschequearemos el botón One Level. No tenemos que preocuparnos si la herramienta tarda en hacer su trabajo, sobre todo en grandes estructuras con infinitas OUs.

Si queremos la fecha cuando los permisos fueron modificados tenemos que hacer un check en la opción Replication Medatada, añadiéndonos una columna a nuestro informe con dicho valor. Veamos otro ejemplo:

También podemos visualizar todos los bojetos, cambiado la selección de OU a All Objects.

Podemos seleccionar que el informe sea formato HTML o CSV o ambos formatos, fijando la ruta de destino del fichero en formato CSV así como podemos intercambiar el resultado entre ambos formatos.

Aunque donde esta herramienta demuestra todo su potencial es en los siguientes puntos:

Comparaciones.- Podemos comparar el resultado del estado actual con un resultado de un estado previo. Al poder guardar la salida del informe en formato CSV podemos comparar ficheros a lo largo del tiempo y poder descubrir quién tiene ahora permisos que antes no tenía y viceversa.

Filtrado.- Podemos realizar los siguientes filtros:

Filtro de permiso de Permitir o Denegar.

Filtro por tipo de objeto, como pueden ser Usuarios, contactos, grupos, equipos, etc.

Filtro «By Trustee», o sea por cualquier conjunto de letras que puedan corresponder a algo que se encuentre en nuestro Directorio Activo.

Con esta herramienta no se que escusa poner ahora.

Suerte.

Seguridad

Rotura de claves WPA en Router de Telefonica y Jazztel.

15/05/2013 Published by: Roberto Tejero

En un Post de hace unos meses, os comenté uno de los últimos libros que me había leido «Hacker Epico«. En uno de los capítulos hablan de lo fácil (para un hacker) que es crackear una Wi-Fi securizada con WPA, en concreto en determinados Routers Wi-Fi de Telefónica y Jazztel, los que tienen una denominación del tipo: WLAN_XXXX, o sea, el mio.

Concretamente lo que se había descubierto era que el mecanismo de generación de claves, dicho algoritmo estaba basado en el BSSID (la dirección MAC del router WiFi), y el ESSID ( lo que se conoce como el nombre de la red WiFi, en nuestro caso WLAN_XXXX) del router. Estos datos son públicos en conexiones a redes WiFi.

Ya sabeis el dicho, «en casa del herrero, …..». Me puse manos a la obra con mi Router de Telefónica recien instalado para ver si era cierto …… mediante herramientas de Snifer conseguí la dirección MAC de mi Router ….

Vaya, el ESSID de mi Router termina en 2E4C y la MAC del mismo router, o sea, el BSSID, ….. también!!!! Sospechoso.

Pues nada, me descargué de Google Play el siguiente programa «Liberad a Wifi Revolution»:

el cuál, hace todo el trabajo por mi, jejeje

Lanzamos el aplicativo:

Nos detecta todas las redes Wi-Fi a nuestro alrededor, y, en concreto, la que nos interesa:

Y, para finalizar, nos hace el cálculo a través del citado algoritmo, de nuestra clave WPA:

Os confirmo que no es la que tengo asignada. Uf!! primera prueba superada.

Si quieres hacerlo a través de una web (aqui), lo ejecutamos en nuestro navegador y nos aparece la siguiente pantalla:

Una vez introducidos los datos que hemos obtenido y pulsando a «Calcular key», nos aparece la siguiente clave:

Que, nuevamente, no corresponde con la nuestra. Uf! menos mal, de momento, hemos pasado el primer filtro.

Bibliografia: Creo que de estos temas hay mucha, pero que mucha bibliografía, y muy buena, en este caso, producto ibérico, de pata negra:

Seguridad

La seguridad en la oficina – Ataque David Hasselhoff.

07/05/2013 Published by: Roberto Tejero

Buenos dias a todos. Hoy voy a hablar de un clásico de la seguridad informática en los entornos de trabajo con muchos puestos, como pueda ser una oficina.

La primera vez que oí hablar de este tipo de ataque fue a mediados del año 2008, en el Blog «El Diario de Juanito«, un clásico del análisis forense digital en entornos windows. En aquel post (ver aqui) explicaban paso a paso en qué consiste este tipo de ataque tan perverso. Te hackean el ordenador, entran y modifican en tu equipo. No os quiero contar la cara que se te queda despues de sufrir el «Ataque David Hasselhoff».

[mantra-pullquote align=»left|center|right» textalign=»left|center|right» width=»55%»]¿En qué consiste este tipo de ataque?[/mantra-pullquote]

Consiste en poner una foto del susodicho individuo con el torso semidesnudo y unos perritos sharpeis sobre ciertas partes de su cuerpo como fondo de escritorio o papel tapiz.

[mantra-pullquote align=»left|center|right» textalign=»left|center|right» width=»33%»]¿Cómo puedo evitarlo?[/mantra-pullquote] Pues no relajandonos en nuestras medidas de seguridad, sobre todo en la de bloquear el equipo siempre cuando abandonemos nuestro puesto de trabajo.

Ayer batí mi record, dos ataques en una tarde, increible pero cierto.

Existe una variación de este tipo de ataque, el denominado «mejorado», que podeis encontrar en el blog del maligno (ver este post) en el año 2009, otro Blog de obligada visita si os gusta la seguridad informática.

Suerte y dedicarnos alguna que otra pillada.

El camino de un ITPro

Category Archives: Seguridad

Publicar una aplicación remota a través de RDWeb de Windows Server 2012 R2. Securizar la navegación mediante Apps.