El camino de un ITPro » IIS » Seguridad » Tools

Category Archives: Tools

IIS Seguridad Tools

SSLScan testeando la seguridad de una conexión SSL en nuestros publicadores.

Published by:

En uno de mis últimos proyectos había que revisar la seguridad de nuestros publicadores web situados en una DMZ, concretamente revisar las posibles vulnerabilidades existentes en el puerto 443.

Recordé a mi compañero John, experto en Seguridad, que me había hablado sobre una herramienta denominada SSLScan y desde la Comunidad DragonJar, hace poco había comentado algo sobre ella. Bien pues os hago una breve introducción.

SSLScan

Es una escaner de puertos SSL la cual nos facilita información sobre que tipo de cifrado soporta el puerto al que nos conectamos, que tipo de cifrado es el preferido, que protocolos SSL están soportados, información sobre el certificado instalado, permitiéndonos una salida a fichero en formato XML con el que, posteriormente, podemos elaborar informes, etc.

SSLScan [Opciones] [host:puerto | host]

sslscan0001Opciones:
– Targets=<file> Un archivo que contiene una lista de hosts para comprobar. Los anfitriones pueden ser suministrados con los puertos de host (por ejemplo: puerto).
– no-failed Indique solamente cifras aceptadas (por defecto es de enumerar todos los cifrados).
– SSL2 Sólo comprobar cifras SSLv2.
– SSL3 Sólo comprobar cifras SSLv3.
– pk=<file> Un archivo que contiene la clave privada o PKCS # 12 del archivo que contiene una clave privada / certificado par (como la producida por MSIE y Netscape).
– pkpass=<password> La contraseña de la clave privada o archivo PKCS # 12.
– certs=<file> Un archivo que contiene certificados de cliente con formato PEM/ASN1.
– starttls Ejecuta un TLS de inicio para poner a prueba las capacidades SSL de un servicio de SMTP con soporte TLS. Esta opción fuerza automáticamente cifrados TLS, no es necesario especificarlo.
– xml=<file> Los resultados se exportan a un archive XML.
– version = Muestra la version del programa
– help = Muestra la pantalla de ayuda

Lo podemos descargar desde aqui, Sourceforge.net.

Os dejo un ejemplo:

                   _
___ ___| |___  ___ __ _ _ __
/ __/ __| / __|/ __/ _` | ‘_
__ __ __ (_| (_| | | | |
|___/___/_|___/_____,_|_| |_|

Version 1.8.2-win
http://www.titania.co.uk
Copyright Ian Ventura-Whiting 2009
Compiled against OpenSSL 0.9.8m 25 Feb 2010

Testing SSL server www.bolsasymercados.es on port 443

Supported Server Cipher(s):
Rejected  SSLv2  168 bits  DES-CBC3-MD5
Rejected  SSLv2   56 bits  DES-CBC-MD5
Rejected  SSLv2  128 bits  IDEA-CBC-MD5
Rejected  SSLv2   40 bits  EXP-RC2-CBC-MD5
Rejected  SSLv2  128 bits  RC2-CBC-MD5
Rejected  SSLv2   40 bits  EXP-RC4-MD5
Rejected  SSLv2  128 bits  RC4-MD5
Rejected  SSLv3  256 bits  ADH-AES256-SHA
Rejected  SSLv3  256 bits  DHE-RSA-AES256-SHA
Rejected  SSLv3  256 bits  DHE-DSS-AES256-SHA
Rejected  SSLv3  256 bits  AES256-SHA
Rejected  SSLv3  128 bits  ADH-AES128-SHA
Rejected  SSLv3  128 bits  DHE-RSA-AES128-SHA
Rejected  SSLv3  128 bits  DHE-DSS-AES128-SHA
Rejected  SSLv3  128 bits  AES128-SHA
Rejected  SSLv3  168 bits  ADH-DES-CBC3-SHA
Rejected  SSLv3   56 bits  ADH-DES-CBC-SHA
Rejected  SSLv3   40 bits  EXP-ADH-DES-CBC-SHA
Rejected  SSLv3  128 bits  ADH-RC4-MD5
Rejected  SSLv3   40 bits  EXP-ADH-RC4-MD5
Rejected  SSLv3  168 bits  EDH-RSA-DES-CBC3-SHA
Rejected  SSLv3   56 bits  EDH-RSA-DES-CBC-SHA
Rejected  SSLv3   40 bits  EXP-EDH-RSA-DES-CBC-SHA
Rejected  SSLv3  168 bits  EDH-DSS-DES-CBC3-SHA
Rejected  SSLv3   56 bits  EDH-DSS-DES-CBC-SHA
Rejected  SSLv3   40 bits  EXP-EDH-DSS-DES-CBC-SHA
Accepted  SSLv3  168 bits  DES-CBC3-SHA
Rejected  SSLv3   56 bits  DES-CBC-SHA
Rejected  SSLv3   40 bits  EXP-DES-CBC-SHA
Rejected  SSLv3  128 bits  IDEA-CBC-SHA
Rejected  SSLv3   40 bits  EXP-RC2-CBC-MD5
Accepted  SSLv3  128 bits  RC4-SHA
Accepted  SSLv3  128 bits  RC4-MD5
Rejected  SSLv3   40 bits  EXP-RC4-MD5
Rejected  SSLv3    0 bits  NULL-SHA
Rejected  SSLv3    0 bits  NULL-MD5
Rejected  TLSv1  256 bits  ADH-AES256-SHA
Rejected  TLSv1  256 bits  DHE-RSA-AES256-SHA
Rejected  TLSv1  256 bits  DHE-DSS-AES256-SHA
Rejected  TLSv1  256 bits  AES256-SHA
Rejected  TLSv1  128 bits  ADH-AES128-SHA
Rejected  TLSv1  128 bits  DHE-RSA-AES128-SHA
Rejected  TLSv1  128 bits  DHE-DSS-AES128-SHA
Rejected  TLSv1  128 bits  AES128-SHA
Rejected  TLSv1  168 bits  ADH-DES-CBC3-SHA
Rejected  TLSv1   56 bits  ADH-DES-CBC-SHA
Rejected  TLSv1   40 bits  EXP-ADH-DES-CBC-SHA
Rejected  TLSv1  128 bits  ADH-RC4-MD5
Rejected  TLSv1   40 bits  EXP-ADH-RC4-MD5
Rejected  TLSv1  168 bits  EDH-RSA-DES-CBC3-SHA
Rejected  TLSv1   56 bits  EDH-RSA-DES-CBC-SHA
Rejected  TLSv1   40 bits  EXP-EDH-RSA-DES-CBC-SHA
Rejected  TLSv1  168 bits  EDH-DSS-DES-CBC3-SHA
Rejected  TLSv1   56 bits  EDH-DSS-DES-CBC-SHA
Rejected  TLSv1   40 bits  EXP-EDH-DSS-DES-CBC-SHA
Accepted  TLSv1  168 bits  DES-CBC3-SHA
Rejected  TLSv1   56 bits  DES-CBC-SHA
Rejected  TLSv1   40 bits  EXP-DES-CBC-SHA
Rejected  TLSv1  128 bits  IDEA-CBC-SHA
Rejected  TLSv1   40 bits  EXP-RC2-CBC-MD5
Accepted  TLSv1  128 bits  RC4-SHA
Accepted  TLSv1  128 bits  RC4-MD5
Rejected  TLSv1   40 bits  EXP-RC4-MD5
Rejected  TLSv1    0 bits  NULL-SHA
Rejected  TLSv1    0 bits  NULL-MD5

Prefered Server Cipher(s):
SSLv3  128 bits  RC4-MD5
TLSv1  128 bits  RC4-MD5

SSL Certificate:
Version: 2
Serial Number: -4294967295
Signature Algorithm: sha1WithRSAEncryption
Issuer: /C=US/O=Thawte, Inc./CN=Thawte SSL CA
Not valid before: Jun 29 00:00:00 2012 GMT
Not valid after: Jun 29 23:59:59 2014 GMT
Subject: /C=ES/ST=Madrid/L=Madrid/O=Bolsas Mercados Espanoles soc Holding Mercados Sistemas Finan SA/OU=Desarrollo de Mercado/CN=www.bolsasymercados.es
Public Key Algorithm: rsaEncryption
RSA Public Key: (2048 bit)
Modulus (2048 bit):
00:dd:2c:c5:f1:76:d0:05:41:5f:7a:c7:57:a4:6b:
61:1e:91:27:f4:cf:1a:3f:48:1d:80:6d:1e:80:6e:
aa:f3:b1:44:36:3c:a8:7a:79:74:ea:41:90:39:5d:
3c:70:2d:fa:08:15:54:c4:0c:3a:61:0c:81:ba:d7:
d9:16:b5:a9:5d:99:06:c5:74:73:c3:b5:12:ab:38:
1e:97:3a:21:72:99:05:b5:a8:51:ab:9c:37:25:cc:
1f:08:f8:a9:b9:81:fb:53:13:bc:d8:7c:d8:eb:1f:
75:46:c7:f1:40:bd:e8:7f:c1:fe:8c:63:cf:75:20:
53:36:4f:23:d4:13:ea:02:a9:b6:fb:07:6a:9c:e8:
3f:aa:64:fa:90:e0:4a:0f:aa:0c:dc:0d:67:c7:25:
37:ee:06:fd:e8:4e:cf:82:bd:5e:66:2b:92:80:9f:
95:88:5c:3e:87:0c:e2:ea:8e:3e:ef:7a:f8:d8:6e:
a0:cb:ef:1a:28:a1:73:ec:d1:b2:ac:d6:1d:ea:84:
c8:47:8f:13:8e:66:b1:bf:b8:c0:e5:49:09:1c:e0:
15:03:dd:d0:ae:68:b1:33:78:8a:79:43:29:14:0b:
8d:9e:65:ef:bc:c3:bc:bc:1e:0d:0d:bb:3d:2d:75:
dd:63:ce:56:6a:36:85:cb:3b:ac:34:96:87:69:fa:
30:31
Exponent: 65537 (0x10001)
X509v3 Extensions:
X509v3 Subject Alternative Name:
DNS:www.bolsasymercados.es
X509v3 Basic Constraints: critical
CA:FALSE
X509v3 CRL Distribution Points:
URI:http://svr-ov-crl.thawte.com/ThawteOV.crl

X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
Authority Information Access:
OCSP – URI:http://ocsp.thawte.com

Verify Certificate:
unable to get local issuer certificate

De las opciones más útiles está la de poder cargar en un fichero un listado de dominios/direcciones para poder erscanearlas una detrás de otra.

[youtube=http://www.youtube.com/watch?v=pQJfZr3HJRk&w=420&h=315]

Otros artículos muy interesants al respecto:

Hyper-V Tools

Crear un USB de arranque automático con Hyper-V Server 2012 R2.

Published by:

USB00000AMI intención es tener un USB de andar por casa, 8GB, mas o menos, con una instalación de arranque automático con Hyper-V Server 2012 R2, vamos, lo último de lo último. O sea, tener un laboratorio casero con poco desembolso.

No he encontrado casi nada navegando por la Internet sobre este asunto, me refiero a la utilización de la versión R2, ya que todavía está calentita, así que he utilizado posts de versiones mas antiguas de Hyper-V.

El mejor post en castellano es para Soporte sin errores de Luisa cinque.

Y luego tenemos otros en ingles, el oficial de Technet y el del blog de Altaro suelen ser muy buenos:

Poco puedo aportar a estos pedazo de posts, así que simplifico al máximo:

Requisitos;

  • USB de 8 GB o superior. Formateado en NTFS y como Partición Activa.
  • Necesitamos tener instalado Windows Automated Installation Kit for Windows 7 (WAIK) que lo podemos descar de este link.
  • Descargarnos Hyper-V Server 2012 R2 desde aqui.
  • Ejecutarlo en un Windows 7 o superior.
  • Ejecutarlo como administrador local

Pasos a seguir: Muy básico.

  • Creamos, montamos y formateamos un disco virtual vhd.
  • Aplicamos la imagen de Hyper-V Server 2012 R2 sobre dicho disco virtual. En nuestro caso el valor es 1.

UltimateUSB00001

  • Prepararemos el USB, formateándolo y asignandole una unidad.
  • Actualizaremos el Master Boot Record (MBR) del USB mediante BOOTSect.
  • Copiaremos ficheros necesarios para que el USB pueda se de auto-arranque mediante BCDBOOT.
  • Eliminaremos el fichero de paginación del USB.

UltimateUSB00002

Existen otras formas de hacerlo utilizando programas para tal fin, como los siguientes:

Create Hyper-V Server USB Memory

Desde Codeplex tenemos como siempre grandes sorpresas y esta es una de ellas. Aunque, en principio, está creada para Windows 2008 R2, también está soportada para Hyper-V Server 2012. Tenemos una serie de requerimientos:

  • USB de 16 GB o superior. Formateado en NTFS y como Partición Activa.
  • Necesitamos tener instalado Windows Automated Installation Kit for Windows 7 (WAIK) que lo podemos descar de este link.
  • Descargarnos Hyper-V Server 2012 R2 desde aqui (hasta el próximo 17 de octubre)
  • Ejecutarlo en un Windows 7 o superior.
  • Ejecutarlo como administrador local
  • .Net Framework 3.5

Para poner la partición como áctiva, en el caso de no estarlo:

C:Usersronin>diskpart

  • *DISKPART> list disk
  • * disk state size
  • ###
  • ——– ————- ——-
  • disk 0 online 111 GB
  • disk 1 online 30 GB
  • *DISKPART> select disk 1
  • *DISKPART> select partition 1
  • *DISKPART> active
  • *DISKPART> exit

BootFromUSB.

Esta otra opción la podemos descargar desde MSDN. Requerimientos:

  • Ejecutar todo el proceso como administrador local.
  • USB de 8GB o mas grande.
  • Necesitamos tener instalado Windows Automated Installation Kit for Windows 7 (WAIK) que lo podemos descar de este link.
  • Descargarnos Hyper-V Server 2012 R2 desde aqui (hasta el próximo 17 de octubre)
  • Ejecutarlo en un Windows 7 o superior.
  • .Net Framework 3.5.

Espero que os gusten. Si encontrais otras formas de hacerlo, no dudes en ilustrarme.

Buen fin de semana.

Directorio Activo Recursos Seguridad Tools

¿Tenemos el control de los permisos en nuestro Directorio Activo? – Herramienta AD ACL Scanner.

Published by:

El otro día me hacían una gran pregunta ¿Tenemos el control de los permisos en nuestro Directorio Activo? ¿Podemos revisar nuestra delegación de permisos en Directorio Activo?, es más ¿Podemos hacer tales cosas rápidamente.

Desde Suecia con amor nos llega una gran herramienta de consulta. Su Plataforma de PFE’s el pasado mayo editó un Post en su blog (ver aqui), donde hablaban de la herramienta AD ACL Scanner (la podemos descargar desde aqui).

¿Que hace AD ACL Scanner?

¿Quién tiene documentado todos los permisos y la delegación de los mismos en su Directorio Activo? …. Yo no. Mal ejemplo doy. Esto tenemos que cambiarlo.

Bien, esta herramienta genera informes sobre las listas de control de acceso a nuestro Directorio Activo. Ahora ya no tenemos escusa para no documentarlo.

Para ejecutar esta herramienta/script, necesitamos lo siguiente:

  • PowerShell 2.0 o superior.
  • Windows 7/Windows Server 2008 o superior.
  • Habilitar la ejecución de scripts no firmados => Set-ExecutionPolicy Unrestricted , de andar por casa, o si queremos ser mas selectivos, Set-ExecutionPolicy Unrestricted -Scope CurrentUser

adaclscan0001

¿Cómo creamos un informe de una OU?

Básicamente son tres sencillos pasos:

  1. Hacemos click en el botón de Connect la herramienta se conectará a nuestro Directorio Activo o a la partición que necesitemos, Configuración, Dominio, Esquema o Custom.
  2. Nos aparecerá el arbol del Directorio Activo con todas sus Unidades Organizativas donde podremos ir moviendonos y seleccionando.
  3. Cuando hayamos seleccionado una OU, ejecutaremos el escaneo pertinente, o sea, click en botón Run.

Este es un ejemplo de informe:

adaclscan0002

Opciones del Escaner:

  • Por defecto solo se nos mostrará la información sobre la OU en la que estamos. Si queremos también la de todas sus hijas, deschequearemos el botón One Level. No tenemos que preocuparnos si la herramienta tarda en hacer su trabajo, sobre todo en grandes estructuras con infinitas OUs.
  • Si queremos la fecha cuando los permisos fueron modificados tenemos que hacer un check en la opción Replication Medatada, añadiéndonos una columna a nuestro informe con dicho valor. Veamos otro ejemplo:

adaclscan0003

adaclscan0004

  • También podemos visualizar todos los bojetos, cambiado la selección de OU a All Objects.
  • Podemos seleccionar que el informe sea formato HTML o CSV o ambos formatos, fijando la ruta de destino del fichero en formato CSV así como podemos intercambiar el resultado entre ambos formatos.

Aunque donde esta herramienta demuestra todo su potencial es en los siguientes puntos:

Comparaciones.- Podemos comparar el resultado del estado actual con un resultado de un estado previo. Al poder guardar la salida del informe en formato CSV podemos comparar ficheros a lo largo del tiempo y poder descubrir quién tiene ahora permisos que antes no tenía y viceversa.

adaclscan0005

Filtrado.- Podemos realizar los siguientes filtros:

  • Filtro de permiso de Permitir o Denegar.
  • Filtro por tipo de objeto, como pueden ser Usuarios, contactos, grupos, equipos, etc.
  • Filtro «By Trustee», o sea por cualquier conjunto de letras que puedan corresponder a algo que se encuentre en nuestro Directorio Activo.

Con esta herramienta no se que escusa poner ahora.

Suerte.

Directorio Activo Tools

Herramienta Active Directory Replication Status…

Published by:

La semana pasada me enteré de la aparición de una nueva herramienta «Active Directory Replication Status» que nos permite, desde una consola gráfica (GUI), verificar y resolver los problemas de replicación entre Controladores de Dominio que tengamos tanto a nivel de Dominio como de Bosque.

La podemos descargar desde este Link: Aqui. Y tiene la siguiente pinta:

¿Que nos aporta?

  • Nos da una visión rápida y sencilla de la situación actual de replicación de Directorio Activo, de todas sus particiones, agrupando por Contrlador de Dominio.
  • Prioriza errores que nos aparezcan dependiendo de su necesidad de ser corregidos.
  • Permite la exportación de la información para su posterior análisis.

Aqui teneis un artículo completísimo sobre esta herramienta desde WindowsITPro, Calentito.
Nos vemos.

Hyper-V Tools Virtualizacion Windows 2012 Windows 8

Arrancar una máquina virtual formato VHD desde un Windows 7 como arranque alternativo.

Published by:

Llevaba tiempo tratando de poner este Post, sobre cómo configurar el arranque inicial del equipo, un Windows 7, para que aparezcan tanto el sistema operativo instalado como uno alternativo que está ubicado en nuestro propio equipo, desde un fichero de formato vhd, o sea, una máquina virtual Hyper-V o Virtual PC.

Para empezar tendremos que disponer de la máquina virtual. Para este ejemplo que mejor opción que montarnos un arranque dual entre Windows 7 y el nuevo Windows 8 Beta, que lo descargaremos desde aqui.

Abriremos el Administrador de discos y seleccionaremos con el bótón derecho la opción «Exponer VHD»:

 
Seleccionaremos la ubicación de nuestro fichero en formato .vhd:

Queda claro de qué máquina virtual se trata:
 
Una vez aceptemos, nos aparecerá la siguiente ventana emergente que nos informa de que se ha añadido un dispositivo VHD

Esto era lo mas dificil. Ahora nuestra intención es que cuando arranquemos el equipo nos aparezcan dos opciones de inicio, una con Windows 7 y la otra, con Windows 8. Aqui nos toca repasar comandos como bcdedit. Si ejecutamos desde una línea de comando «bcdedit» nos aparecere información sobre el arranque de nuestro equipo:

Primera recomendación, hacer una copia de seguridad (backup) de nuestra base de datos del gestor de arranque: Bcdedit /export c:bcdbackup.bak

Tendremos que crear una nueva entrada para Windows 8, generando un GUID. Pasos:

  • Generamos un GUID (Identificador único) mediante un proceso de copia de uno de los existentes.- bcdedit /copy {default} /d «vhd arranque»

mostrándonos el GUID a utiizar {c8fc6558-c0fe-11e1-9615-80c16eea2c06}

Si ejecutamos el comando bcdedit otra vez nos aparecera el GUID con la nueva descripción que le hemos puesto:

  • Asignamos la ruta del archivo formato vhd.- bcdedit /set {c8fc6558-c0fe-11e1-9615-80c16eea2c06} device vhd=[Z:]Windows8Windows8.vhd
  • y bcdedit /set {c8fc6558-c0fe-11e1-9615-80c16eea2c06} osdevice vhd=[Z:]Windows8Windows8.vhd
  • Cambiamos la descripción de la entrada.- bcdedit /set {5586dd33-361b-11e0-8df8-0018716eb820} description «Windows 8»

Cambiamos la descripción de la nueva entrada

Podemos comprobarlo, por ejemplo, desde el msconfig.exe:

Y este es el resultado:

Workarround.- En el caso de que todo haya ido mal o peor, pues nada, recuperamos nuestro backup del gestor de arranque con un simple Bcdedit /import c:bcdbackup.bak y listo.

Bibliografía
Technet.

Tools

¿Cómo saber qué parches tengo instalado en un equipo?

Published by:

Esta pregunta me la he hecho esta mañana ya que necesitaba saber si un servidor tenía instalado o no un parche, el 937031, y digo ….. pues seguro que hay algún comando por ahí, escondido, que me soluciona la papeleta.

Efectivamente, ejecutamos desde una línea de comando «wmic qfe list full /format:htable >c:hotfixes.htm«

Y, en este caso obtendremos un listado de todos los parches de seguridad instalados en la máquina, eso si, en formato html:

Espero que os sea de interes,