Microsoft Lync Server
Header

Informe anual de Seguridad de Cisco 2013

octubre 21st, 2013 | Posted by Santiago Buitrago in Seguridad - (0 Comments)

Aquí os dejo el Informe anual de seguridad de Cisco 2013, no tiene desperdicio y es muy ilustrativo de la realidad actual en las empresas pequeñas, medianas y grandes

Informe_Anual_de_Seguridad_Cisco_2013-2.png

 

DigiCert ha renovado DigiCertTool v 2.3.1

mayo 19th, 2013 | Posted by Santiago Buitrago in Lync Server | Seguridad - (0 Comments)

​Seguro que muchos de vosotros conocéis DigiCertTool, una utilidad de DigiCert para gestionar nuestros certificados. En estos días la han actualizado y liberado para su descarga: DigiCert® Certificate Utility for Windows.

Para mi se ha convertido en una estupenda herramienta de gestión de certificados, y con esta actualización han habilitado alguna que otra función nueva que nos facilitará la gestión de los certificados. Lo más notable a simple vista es que le han cambiado el aspecto:

Antes

digicert_tool_new_1.png

Ahora

digicert_tool_new_2.png

Las opociones aunque las hayan movido de sitio siguen siendo muy parecidas, así que me voy a centrar en lo que me ha parecido más interesante. Ahora tenemos la posibilidad de iniciar sesión en DigiCert directamente desde DigiCertTool:

digicert_tool_new.png
 
Una vez que hemos iniciado sesión podemos ver nuestras solicitudes pendientes o completadas, además de poner subir el CSR (Creación de CSR para Lync de forma sencilla) o instalar el certificado directamente en el servidor desde el cual hemos solicitado el CSR:
digicert_tool_new_3.png
Aun no lo he podido probar, más bien porque no he tenido la necesidad de hacerlo, pero se supone que esto nos facilitará la tarea de solicitud e instalación de nuestros certificados. También han añadido la posibilidad de chequear el Code Signing de las aplicaciones, dlls, ocx, etc..(siempre es muy curiosos ver los resultados…)
digicert_tool_new_4.png
Ejemplo: TeamViewer
digicert_tool_new_5.png
Por último me ha gustado la nueva forma de comprobar los distintos certificados que ya tenemos instalados, para ello vamos a la opción SSL, seleccionamos el certificado que queremos verificar y pulsamos en Test Key
digicert_tool_new_6.png
digicert_tool_new_7.png
Otras de las opciones interesantes que no nueva, es la de Tools, que a buen seguro será la que más uso le deis puesto que tiene opciones muy interesantes como la comprobación de certificados (Certificate Installation Checker), etc..
digicert_tool_new_8.png
 
Para chequear la instalación de nuestro u otro certificado, pulsamos en Check Install y cubrimos las distintas opciones que tenemos disponibles en la siguiente pantalla y pulsamos en Query Server
digicert_tool_new_9.png
Y en cuestión de segundos nos mostrará el resultado
digicert_tool_new_10.png
Si no la habíais utilizado hasta ahora, creo que os ayudará con la gestión de vuestros certificados, y si ya estáis familiarizados con la versión anterior esta os gustará seguro
 
Espero que os sea de utilidad!!!

, ,

Cisco VPN IPSec Site-to-Site con Certificados Digitales (NDES) de MSFT

mayo 4th, 2013 | Posted by Santiago Buitrago in Seguridad - (0 Comments)

Muchos de vuestros clientes cuentan con distintas oficinas en ubicaciones geográficamente distantes, y seguro que con la necesidad de comunicarlas para poder ofrecer los mismos servicios que en las oficinas centrales. Ahora llega la pregunta del millón, cómo conectar las distintas oficinas? Todos los ISP nos ofrecen múltiples tecnologías para ello:

Estas tecnologías son las que suelen manejar los ISP cuando queremos disponer de conectividad entre distintas ubicaciones, además nos permite contratar distintos servicios de alto valor añadido:

  • Redundancia
  • QoS
  • Ancho de Banda
  • Monitorización
  • Seguridad

Pero por supuesto esto tiene un coste que no todas las empresas pueden asumir, a pesar de que ahora mismo tiene un coste más que razonable. De ahí que tengamos la necesidad de buscar alternativas, que a pesar de no tener estos servicios de valor añadido. También es cierto que no en todas las ocasiones necesitamos todas las funcionalidades de este tipo de enlaces, y únicamente buscamos conectar las distintas sedes del cliente. Pero claro, aquí no se nos puede pasar por alto lo más importante cuando utilizamos la WAN (insegura por defecto) para conectar distintas oficinas, que es ofrecer una capa de seguridad importante para que nadie libremente pueda interceptarlas, analizarlas y/o ser capaz de modificarlas. También es cierto que siempre debemos alinear las necesidades de seguridad con el coste que ello supone, pero hoy en día cualquier hardware que se precie soporta ciertos protocolos de seguridad. Existen múltiples tipos de VPN, esto es algo que debemos tener en cuenta en función del diseño que hagamos de la solución. Lo más común y sencillo de implementar es una VPN con IPSec Site-to-Site, para ello debemos tener dispositivos que soporten IPSec (es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos) y sobre él realizar las configuraciones necesarias. Yo os voy a mostrar como configurar un VPN con IPSec Site-to-Site con hardware Cisco, en este caso entre dos routers Cisco de la serie 1800. Este sería el esquema sobre el que se fundamentará la configuración de IPSec:

Esquema: Empresa con dos delegaciones que tiene los servidores principales en la sede central y una replicación de ficheros vía DFSLync_VPN_IPSec_Empresa.jpg

Como esta configuración "tipo" ya os la había comentado en su momento en otro artículo (La Nube Privada: Migración de Oficina, Beneficios del CPD y la VoIP) , me voy a centrar en configurar la autenticación de la Fase 1 utilizando certificados digitales emitidos por nuestra CA. Para refrescarnos la memoria, aquí os dejo la configuración que había utilizado en este artículo de la Nube Privada …. pero cambiando la autenticación de Preshared Key a RSA-SIG, aportando un plus de seguridad y escalabilidad:

La configuración de IPSec mediante dispositivos Cisco y solo con una IP fija en uno de los extremos es la siguiente:
​Data Center ​Nueva Oficina
 crypto isakmp policy 10
 encr aes 192
 authentication rsa-sig
 group 2
 
crypto ipsec transform-set ipsec esp-aes 192 esp-sha-hmac
crypto dynamic-map vpneq2b 10
 set transform-set ipsec
 match address 180
crypto map vpnipsec 10 ipsec-isakmp dynamic vpneq2b
access-list 180 permit ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 180 deny   ip 192.168.200.0 0.0.0.255 host 0.0.0.0
No NAT
access-list 110 deny   ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 110 permit ip any any​
crypto isakmp policy 10
 encr aes 192
 authentication rsa-sig
 group 2
crypto ipsec transform-set ipsec esp-aes 192 esp-sha-hmac
crypto map vpneq2b 10 ipsec-isakmp
 set peer 213.60.255.111
 set transform-set ipsec
 match address 180
access-list 180 permit ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255
access-list 180 deny ip 192.168.100.0 0.0.0.255 0.0.0.0 0.0.0.0
No NAT
access-list 110 deny   ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255
access-list 110 permit ip any any​
​Por último se deben aplicar los crypto-map a las interfaces WAN ​

 

Ahora debemos configurar nuestra CA para que los dispositivos de red puedes solicitar su certificado, para ello vamos a utilizar el Servicio de Inscripción de Dispositivos de Red de nuestra CA en Windows Server. Yo utilizaré Windows Server 2012, y lo primero que debemos hacer es configurar primero nuestra CA: Windows Server 2012, Instalación de una CA. Y durante la instalación o a posteriori configuraremos el Servicio de Inscripción de Dispositivos de Red, yo ya tengo la CA instalada y vamos a ver como podemos configurar el servicio de Servicio de Inscripción de Dispositivos de Red. Para ello vamos a la consola de Administración de nuestro servidor, vamos a Administrar – Agregar Roles y Características y seguimos el asistente hasta que se complete la instalación:

vpn_con_certificados_ndes_45.png

vpn_con_certificados_ndes_46.png

vpn_con_certificados_ndes_47.png

vpn_con_certificados_ndes_48.png

Ahora debemos seleccionar Servicio de inscripción de dispositivos de red y pulsamo en Siguiente

vpn_con_certificados_ndes_1.png

Pulsamos en Siguiente
vpn_con_certificados_ndes_2.png

Una vez que se ha completado la instalación debemos pulsar en Configurar Servicios de certificados de Active Directory en el servidor de destinovpn_con_certificados_ndes_4.png
Por defecto el usuario que instalará que configurará los servicios del ROL será el usuario con el que hayáis iniciado sesión, ya doy por hecho que sois miembros del grupo Admins. del Dominio. Pero en todo caso si queréis elegir otro usuario para realizar la  configuración de este servicio

vpn_con_certificados_ndes_5.png

Debemos seleccionar un usuario que se usará para el servicio de inscripción de certificados, como véis nos avisa de que debe ser miembro del grupo IIS_IUSRS local, pulsamos en seleccionar

vpn_con_certificados_ndes_7.png

Introducimos el nombre del usuario del dominio (debe ser miembro únicamente del grupo de Usuarios del Dominio) e introducimos sus credenciales

vpn_con_certificados_ndes_8.png

pulsamos en Siguiente
vpn_con_certificados_ndes_9.png

Cubrimos los datos de nuestra organización y pulsamos en Siguiente
vpn_con_certificados_ndes_10.png
Podemos dejarlo por defecto y pulsamos en Siguiente

vpn_con_certificados_ndes_11.png

Por último nos muestra un resumen de la configuración y pulsamos en Configurar
vpn_con_certificados_ndes_12.png
vpn_con_certificados_ndes_13.png
vpn_con_certificados_ndes_14.png

Ahora que hemos finalizado veremos que los certificados que tenemos disponibles para la inscripción desde los dispositivos de red serán de la plantila de IPSecCIntermediateOffline. Si quisieramos utilizar una plantilla de certificado personalizada, tendríamos que crear nueva plantilla y editar el registro para cambiar el nombre del certificado a emitir: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP: EncryptionTemplate, GeneralPurposeTemplate, SignatureTemplate y luego reiniciar el IIS para que los cambios se hayan aplicado correctamente.

vpn_con_certificados_ndes_49.png

Ahora vamos a revisar que el usuario asignado para el servicio de inscripción de certificados para dispositivos de red tiene acceso de inscripción de esta plantilla, para ello vamos a la consola de la entidad certificadora, vamos a Plantillas de Certificado y pulsamos con el botón secundario del ratón y pulsamos en Administrar

vpn_con_certificados_ndes_50.png
Debemos ir a las propiedades de la plantilla de  IPSECIntermediateOffline y vamos a la pestaña de seguridad para poder verificar que el usuarios NDES (es el usuario comentario anteriormente) tiene acceso de inscripción sobre esta plantilla

vpn_con_certificados_ndes_51.png
Una vez revisado los permisos básicos y que en nuestro caso la plantilla de certificado que necesitamos es esta, ahora debemos acceder a la URL de administración de emisión de certificados para dispositivos de red. Para ello debemos escribir la siguiente URL: http(s)://fqdn_servidor/certsrv/mscep_admin, ahora os solicitará las credenciales de acceso y debéis iniciar sesión con  un usuario que tenga acceso de inscripción de certificados para las plantillas de IPSECIntermediateOffline, en caso contrario os dará acceso denegado. 

Si cuando accedemos a la URL comentada nos encontramos con este errorvpn_con_certificados_ndes_15.png
debemos revisar el méto de inicio de sesión, que por defecto es negotiate pero si no tenemos los registros SPN actualizados no nos permitirá autenticar. En mi caso como no utlizo el FQDN del sevidor sino un registro CNAME para darle otra URL al acceso web de inscripción de certificados y no tener el SPN creado, no me permitirá autenticarme por Kerberos por lo que tengo que modificarlo de Negotiate a NTLM. Si bien es cierto que puedo crear el SPN adecuado y demás, pero por agilizar la guía no lo he hecho cambiando solo lo he modificado el orden de los proveedores habilitados y  he puesto NTLM el primero en la lista

vpn_con_certificados_ndes_16.png
Ahora he vuelto a acceder a la URL comentada anteriormente y me muestra el siguiente errorvpn_con_certificados_ndes_17.png
Para solucionar este problema he utilizado est KB de MSFT: http://support.microsoft.com/kb/2800975 y debéis seguir estos pasos para solucionarlo

1) Install and configure NDES (and CEP/CES).
2) Open IIS.
3) Select “Default Web Site”. 
4) Click “View Applications” in the action panel on the right.
5) Double click the mscep application.
6) Double click “Handler Mappings”.
7) Click “View Ordered List…” in the action panel.
8) Select ExtensionlessUrlHandler-ISAPI-4.0_64bit and move it down so it is below StaticFile.
9) Repeat steps 6-8 for the mscep_admin application.
10) Restart IIS.

Aquí so muestro los pasos en imágenes

vpn_con_certificados_ndes_18.png
vpn_con_certificados_ndes_19.png

Nota: Esto me ha pasado en casi todas las implementaciones de NDES con Windows Server 2012

Ahora volvemos a tratar de acceder a la URL de NDES y ya podemos acceder correctamente, como vemos nos ofrece la huella digital del certificado a emitir y su clave de solicitud, que como podéis obsevar tendrá una validez de 60 min y solo se puede usar una vez. Este comportamiento se puede modificar editando el registro, pero yo prefiero que dejarlo así. Se puede quitar la solicitud de contraseña, etc.. pero mejor dejémoslo así.

Nota a tener en cuenta de MSFT

De forma predeterminada, el Servicio de inscripción de dispositivos de red solamente puede almacenar en caché cinco contraseñas cada vez. Si la memoria caché de contraseñas está llena al enviar una solicitud de contraseña, debe realizar una de las siguientes acciones antes de enviar la solicitud
  • Espere hasta que una de las contraseñas haya expirado antes de enviar una solicitud nueva.
  • Detenga y reinicie Internet Information Services (IIS) para eliminar todas las contraseñas almacenadas en la memoria caché.
  • Configure el servicio para que almacene en la memoria caché más de cinco contraseñas.

vpn_con_certificados_ndes_21.png

Ya tenemos todo preparado para que nuestros dos routers Cisco puedan solicitar su certificado, para ello debemos seguir los siguientes pasos:

Crear los RSA necesarios: crypto key generate rsa general-keys label <Etiqueta> modulus 2048

vpn_con_certificados_ndes_22.png

(Opcional) Configurar un servidor DNS para que el router pueda resolver nombres de dominio: ip name-server <dirección_IP>. Esto nos ayudará a resolver el nombre de la URL del NDES, y no tenemos que estar utilizando la dirección IP.

vpn_con_certificados_ndes_23.png

Configuramos las opciones de inscripción del certificado por parte del router

crypto pki trustpoint EQ2B
 enrollment mode ra
 enrollment url http://ca.eq2b.com:80/certsrv/mscep/mscep.dll
 usage ike
 serial-number
 revocation-check none
 rsakeypair EQ2BRSA
 auto-enroll

vpn_con_certificados_ndes_24.png

Enviaremos la solictud de autenticación a la CA: crypto pki authenticate <nombre_trustpoint>

vpn_con_certificados_ndes_26.png

Como vemos en la URL del NDES MD5 la huella digital que nos está mostrando en la misma que nos devuelve en el router

vpn_con_certificados_ndes_27.png

Enviaremos la solicitud de inscripción del certificado a la CA: crypto pki enroll <nombre_trustpoint>. Como vemos nos solicita una clave para poder solicitar el certificado, la clave es la que nos muestra en la página en la URL de NDES

vpn_con_certificados_ndes_28.png

Ahora si queremos ver el certificado  recibido escribiremos: sh crypto ca certificates EQ2B

vpn_con_certificados_ndes_29.png

Ahora ya tenemos nuestro certifcado en el router, y si nos vamos a la consola de la CA a Certificados Emitidos y vemos que se ha emitido el certificado en base a la plantilla IPSEC (solicitud sin conexión) y el nombre del solicitante es el usuario NDES. Este usuario es el que previamente habíamos configurado con el asistente inicial

vpn_con_certificados_ndes_30.png

Ahora debemos cambiar el modo de autenticación de nuestra configuración de IPSec en la Fase 1: authentication rsa-sig
 crypto isakmp policy 10 

  authentication rsa-sig

Si ahora escribimos el siguiente comando nos mostrará un resumen de como ha quedado configurado nuestra Policy: sh crypto isakmp policy
vpn_con_certificados_ndes_33.png
 
Esto es todo lo que debemos hacer en cada uno de los routers que, así que debemos repetir los seis pasos en el otro router del otro extremo de la VPN. Una vez completados si vamos a la consola de administración de la CA vemos que ya aparecen los dos certificados emitidos.
vpn_con_certificados_ndes_34.png

Una vez que ambos routers están configurados con sus correspondientes certificados, y que se ha cambiado la configuración de Preshared key a RSA-SIG  los routers volverán a negociar IPSec y tratar de conectarse. Aquí os muestro parte de un log de la negociación de IPSec entre ambos routers:

 
May  4 15:33:57.044: ISAKMP:(0): sending packet to XXX.XXX.XXX.XXX my_port 4500 peer_port 4500 (R) MM_KEY_EXCH
May  4 15:33:57.044: ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
May  4 15:33:57.044: ISAKMP:(0):Old State = IKE_R_MM3  New State = IKE_R_MM4
May  4 15:33:57.336: ISAKMP (0:0): received packet from XXX.XXX.XXX.XXX dport 4500 sport 4500 Global (R) MM_KEY_EXCH
May  4 15:33:57.336: ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
May  4 15:33:57.336: ISAKMP:(0):Old State = IKE_R_MM4  New State = IKE_R_MM5
May  4 15:33:57.336: ISAKMP:(0): processing ID payload. message ID = 0
May  4 15:33:57.336: ISAKMP (0:0): ID payload
        next-payload : 6
        type         : 2
        FQDN name    : XXXXXXXXXXXXXX
        protocol     : 17
        port         : 0
        length       : 21
May  4 15:33:57.380: ISAKMP:(0): processing SIG payload. message ID = 0
May  4 15:33:57.412: ISAKMP:received payload type 17
May  4 15:33:57.412: ISAKMP:(0):SA authentication status:
        authenticated
May  4 15:33:57.412: ISAKMP:(0):SA has been authenticated with XXX.XXX.XXX.XXX
May  4 15:33:57.412: ISAKMP:(0):Detected port floating to port = 4500
May  4 15:33:57.412: ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
May  4 15:33:57.412: ISAKMP:(0):Old State = IKE_R_MM5  New State = IKE_R_MM5
May  4 15:33:57.420: ISAKMP:(0):SA is doing RSA signature authentication using id type ID_IPV4_ADDR
May  4 15:33:57.420: ISAKMP (0:0): ID payload
        next-payload : 6
        type         : 1
        address      : XXXXXXXXXXXXXXXXXXXXX
        protocol     : 17
        port         : 0
        length       : 12
May  4 15:33:57.420: ISAKMP:(0):Total payload length: 12
May  4 15:33:57.432: ISAKMP (0:0): constructing CERT payload for hostname=EQ2B.asirsl.com,ipaddress=YYY.YYY.YYY.YYY,serialNumber=FCZ102990AA
May  4 15:33:57.432: ISKAMP: growing send buffer from 1024 to 3072
May  4 15:33:57.432: ISAKMP:(0): using the EQ2B trustpoint's keypair to sign
May  4 15:33:58.452: ISAKMP:(0): sending packet to XXX.XXX.XXX.XXX my_port 4500 peer_port 4500 (R) MM_KEY_EXCH
May  4 15:33:58.456: ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
May  4 15:33:58.456: ISAKMP:(0):Old State = IKE_R_MM5  New State = IKE_P1_COMPLETE
May  4 15:33:58.456: ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE
May  4 15:33:58.456: ISAKMP:(0):Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE
May  4 15:34:08.955: ISAKMP (0:0): received packet from XXX.XXX.XXX.XXX dport 4500 sport 4500 Global (R) QM_IDLE
May  4 15:34:08.959: ISAKMP: set new node 452620383 to QM_IDLE
May  4 15:34:08.959: ISAKMP:(0): processing HASH payload. message ID = 452620383
May  4 15:34:08.959: ISAKMP:(0): processing NOTIFY DPD/R_U_THERE protocol 1
        spi 0, message ID = 452620383, sa = 63F8B86C
May  4 15:34:08.959: ISAKMP:(0):deleting node 452620383 error FALSE reason "Informational (in) state 1"
May  4 15:34:08.959: ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY
May  4 15:34:08.959: ISAKMP:(0):Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE
May  4 15:34:08.959: ISAKMP:(0):DPD/R_U_THERE received from peer XXX.XXX.XXX.XXX, sequence 0x36323CCE
May  4 15:34:08.959: ISAKMP: set new node 1455114095 to QM_IDLE
May  4 15:34:08.959: ISAKMP:(0):Sending NOTIFY DPD/R_U_THERE_ACK protocol 1
        spi 1683670752, message ID = 1455114095
May  4 15:34:08.959: ISAKMP:(0): seq. no 0x36323CCE
May  4 15:34:08.959: ISAKMP:(0): sending packet to XXX.XXX.XXX.XXX my_port 4500 peer_port 4500 (R) QM_IDLE
May  4 15:34:08.959: ISAKMP:(0):purging node 1455114095
May  4 15:34:08.959: ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_MESG_KEEP_ALIVE
May  4 15:34:08.963: ISAKMP:(0):Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE
Si queremos verificar que se ha establecido la VPN correctamente, escribimos el siguiente comando en el router: sh crypto isakmp sa y como vemos está en estado QM_IDLE por lo que estamos conectados
vpn_con_certificados_ndes_52.png
 
Esto mismo lo podemos repetir en tantos routers como queramos conectar entre si. Esto permite aumentar el nivel de seguridad y  escalabilidad de nuestra infraestructura de comunicaciones. Si os habéis fijado he puesto este comando en la configuración de  solicitud de los certificados:  revocation-check none

crypto pki trustpoint EQ2B
 revocation-check none

Esto evita que compruebe las CRL para saber si hemos o no revocado algún certificado, pero siempre es más que recomendable que se comprueben  las CRLs. Su configuración es muy sencilla, únicamente los routers debens poder conectarse a las URLS en donde tengamos publicada la CRL y en el router cambiar  revocation-check none por revocation-check crl ocsp
vpn_con_certificados_ndes_53.png

 
Con esta configuración hemos logrado conectar las sedes de nuestros cliente, y además ofrecer un plus de seguridad adicional. También comentaros que si tenemos múltiples sedes, yo siempre configuro DMVPN (esto lo veremos en otro artículo) puesto que me reporta múltiples beneficios en su configuración y gestión, pero esto lo veremos en otro artículo.
 
Y por último, recordaros que en uno de los últimos artículos que había subido en los últimos días (Lync Server: Recomendaciones para Securizar un Trunk SIP o Direct SIP) os comentaba que siempre que configuréis un SIP TRUNK sin TLS es más que recomendable establecer un túnel IPSEC entre ambos extremos. Pues con este artículo también daríamos cabida a este escenario, nuestra infraestructura de Lync conectada a un ITSP mediante una VPN IPSec con autenticación RSA-SIG.
 
Lync_VPN_IPSec_Imagen.jpg
 
Existen múltiples combinaciones y formas de establecer túneles VPN, esta simplemente es una más y muy sencilla. Además, con la CA de Windows Server 2012 es muy sencillo desplegar  el Servicio de inscripción de dispositivos de red (NDES) y ofrecer estos servicios de seguridad algo más avanzados.
 
Espero que os sea de utilidad!!!

, , , ,

Windows Server 2012: VPN SSTP con NAP

abril 26th, 2013 | Posted by Santiago Buitrago in Seguridad | Windows Server - (0 Comments)

 

NAP (Network Access Protection) nos permite controlar el acceso completo o registringido a la red si cumplen las directivas de mantenimiento correspondientes, tanto en conexiones locales como de acceso remoto. Voy a tratar de explicar cómo podemos configurar NAP en una conexión VPN con SSTP, pero solo voy a comentar la configuración del NPS, puesto que la configuración del servidor RRAS con SSTP lo había publicado en su momento:
 

Este es el esquema que trataremos de configurar en este artículo

vpn_sstp_nap_esquema.jpg

Una vez que tenemos configurado el servidor VPN, empezamos con la configuración del NPS. Primero debemos configurar el servidor RRAS para que la autenticación de los clientes VPN sea mediante RADIUS:vpn_sstp_nap_3.jpg
ahora debemos configurar en el servidor NPS  el cliente Radius, en este caso sería el servidor RRASvpn_sstp_nap_4.jpg

escribimos un nombre descriptivo, el nombre o dirección IP del cliente radius y la clave compartida entre ambos
vpn_sstp_nap_5.jpg
también debemos seleccionar que el cliente Radius es compatible con NAPvpn_sstp_nap_6.jpg
Una vez que hemos configurado el cliente y servidor radius respectivamente, vamos a comenzar con la configuración de NAP. Seleccionamos el servidor de NPS (Local) y en la parte derecha pulsamos en Configurar NAP y continuamos con el asistente
vpn_sstp_nap_7.jpg
seleccionamos como método de conexión de red la opción Red privada virtual (VPN), escribimos un nombre para esta directiva y pulsamos en Siguientevpn_sstp_nap_8.jpg
agregamos el cliente radius (RRAS) que utilizarán esta directiva y pulsamos en Siguientevpn_sstp_nap_9.jpg
agregamos el grupo de usuarios que tendrán acceso mediante VPN (ACL NPS VPN Usuarios) y pulsamos en Siguientevpn_sstp_nap_10.jpg
ahora debemos seleccionar el certificado que utilizará el servidor para presentarle a los clientes VPN, sino es el que tiene seleccionado por defecto podemos elegir otro diferente. Además, seleccionaremos como se autenticarán los usuarios, en nuestro caso elegimos Tarjeta inteligente u otro certificado (EAP-TLS) y pulsamos en Siguientevpn_sstp_nap_11.jpg
ahora debemos seleccionar los servidores de actualizaciones (WSUS) que tengamos disponibles para los equipos que no superen las SHV y también la URL de Ayuda si disponemos de ella

vpn_sstp_nap_12.jpg
como no teníamos configurado el grupo de servidor de actualizaciones configurados, vamos a hacerlo sobre la marcha y pulsamos en Grupo Nuevo y añadimos nuestro servidor de actualizaciones

vpn_sstp_nap_13.jpg
una vez configurado el grupo de servidores de actualizaciones pulsamos en Siguiente
vpn_sstp_nap_14.jpg
ahora tenemos que indicarle que ocurrirá si el cliente cumple o no los requisitos de NAP, además habilitamos la corrección automática de equipos cliente. Y los clientes que no cumplan con NAP no se les permitirá acceso a la red de la empresa y pulsamos en Siguiente
vpn_sstp_nap_15.jpg
ahora nos muestra el resumen de lo que hemos ido configurando y pulsamos en finalizarvpn_sstp_nap_16.jpg
Si ahora revisamos las directivas de red veremos que tenemos tres creadas desde el asistente anterior:vpn_sstp_nap_17.jpg

Vamos a ver cada una de las directivas:

NAP VPN Compatible

vpn_sstp_nap_18.jpg
como vemos tenemos configurada la directiva de mantenimiento NAP VPN Compatiblevpn_sstp_nap_19.jpg
ahora veremos la directiva de mantenimiento para que veáis la configuración de la misma, para poder conectarse con esta directiva de mantenimiento debe cumplir todas las comprobaciones de SHV

vpn_sstp_nap_20.jpgvpn_sstp_nap_21.jpg

Debemos seleccionar el método de autenticación desde el botón Agregar y seleccionamos  Microsoft: Tarjeta inteligente u otro certificado y desmarcamos el resto de métodos que viene seleccionados por defecto (MS-CHAP-v2 y MS-CHAP)vpn_sstp_nap_22.jpg
vpn_sstp_nap_23.jpg
ahora revisamos las opciones de Cumplimiento NAP y por defecto está seleccionado Permitir acceso completo a la red y Habilitar corrección automática de equipo clientvpn_sstp_nap_24.jpg

NAP VPN No Compatible

vpn_sstp_nap_25.jpg

como vemos tenemos configurada la directiva de mantenimiento NAP VPN No Compatiblevpn_sstp_nap_26.jpg

vpn_sstp_nap_27.jpgvpn_sstp_nap_21.jpg
La configuración de autenticación es la misma en todas las directivas, por lo que vamos directamente a la Configuración NAP y ahora pulsamos en Configurarvpn_sstp_nap_28.jpg
vpn_sstp_nap_29.jpg

NAP VPN No Compatible con NAP

La configuración de esta directiva es igual que la NAP VPN No Compatible con la diferencia que en la configuración de compatibilidad con NAP se ha seleccionado que El equipo no es compatible con NAP. El resto de configuración es exactamente la misma que la directiva anterior.

vpn_sstp_nap_30.jpg

Ahora debemos configurar el cliente que se conectará al servidor VPN, pero antes de configurar la conexión VPN debemos tener configurado los siguientes servicios en los equipos que se conectarán a la VPN:

 

Iniciar el servicio Agente de Protección de acceso a redes y cambiarla el Tipo de Inicio a Automático

vpn_sstp_nap_31.jpg

Iniciar el servicio Centro de seguridad

vpn_sstp_nap_32.jpg
y por último debemos habilitar el Cliente de aplicación de cuarentena de EAP desde la Configuración del cliente NAP (Inicio – Ejecutar – napclcfg.msc)vpn_sstp_nap_33.jpg

Como la máquina la cual he configurado el cliente VPN no está en el dominio, tengo que instalar el certificado raíz de confianza y el certificado personal del usuario. Yo he configurado una CA interna en mi DC y solicitaré ambos certificados desde el servidor Web de la CA. Accedemos al servidor WEB y nos autenticamos con los datos del usuario con el que nos vamos a conectar a la VPN, para que el certificado que nos emita será para dicho usuario:vpn_sstp_nap_38.jpg

Primero vamos a instalar la CA, para ello debéis hacerlo de la siguiente forma

vpn_sstp_nap_39.jpg
vpn_sstp_nap_40.jpg

vpn_sstp_nap_41.jpg
vpn_sstp_nap_42.jpg
vpn_sstp_nap_43.jpg
vpn_sstp_nap_44.jpg
vpn_sstp_nap_45.jpg

Ahora vamos a solicitar en línea el certificado de usuario, para ello abrimos la misma URL pero elegimos otras opciones

vpn_sstp_nap_46.jpg
vpn_sstp_nap_47.jpg
vpn_sstp_nap_48.jpg
vpn_sstp_nap_49.jpg
vpn_sstp_nap_50.jpg

Una vez que ha finalizado la solicitud e instalación del certificado vamos a verificar que lo tenemos instalado, para ello abrimos Internet Explorer y vamos a Herramientas – Opciones de Internet – Contenido – Certificados
vpn_sstp_nap_51.jpg

Ahora si podemos proceder a configurar la conexión VPN, para ello vamos a la Centro de Redes y Recursos Compartidos y creamos una configuración de red con la siguiente configuración

vpn_sstp_nap_34.jpgvpn_sstp_nap_35.jpg
vpn_sstp_nap_36.jpgvpn_sstp_nap_37.jpg

Ahora debemos probar la conexión VPN para verificar que autentica y conecta  correctamente, pero como no tengo antivirus estoy restringido

vpn_sstp_nap_52.jpg

Desde la consola del RRAS también puedo ver la conexión del cliente VPN y su estadovpn_sstp_nap_60.jpg

Si ahora instalo el antivirus y pruebo a conectarme pero sigo sin poder conectarme y estoy "registringido" porque aún no he actualizado el antivirus

vpn_sstp_nap_53.jpg

si actualizo el antivirus y vuelvo a conectarme ahora sí cumplo todos los requisitos
vpn_sstp_nap_54.jpg

como hemos hecho antes podemos verificar los clientes conectados y su estado desde el RRASvpn_sstp_nap_61.jpg

por supuesto tengo acceso a los recursos internos de la empresa

vpn_sstp_nap_59.jpg

Si ahora que estoy conectado desactivo el antivirus el sistema me alertará de que estoy registringido restringido y me muestra cual es la razón

vpn_sstp_nap_55.jpg

Si pulsamos en Más información nos llevará a la web de soporte que hemos configurado anteriormente (yo he puesto la página por defecto del IIS pero vosotros deberíais poner una web de ayuda)

vpn_sstp_nap_56.jpg

Antes de conectaros  la VPN podéis comprobar el estado de vuestro equipo desde el Centro de Actividades (vpn_sstp_nap_58.jpg)

vpn_sstp_nap_57.jpg

Como veis podemos hacer muchas cosas y muy interesantes, además podemos hacer filtros IP, etc.. Es bastante sencillo y rápido de configurar, además es muy útil no solo para conexiones VPN sino también para DirectAccess, Redes Inalámbricas, DHCP, etc… casi todo lo que queráis implementar con NPS es posible implementarle NAP

Espero que os sea de utilidad!!!

,

FileZilla Server: «Seguridad» de la Consola de Administración

abril 13th, 2013 | Posted by Santiago Buitrago in Seguridad - (0 Comments)

​Voy a comentaros algo que no tiene nada que ver con Lync, pero que me apetece compartirlo con vosotros. En muchas ocasiones queremos utilizar aplicaciones gratuitas sin pensar en la seguridad de las mismas, y solo en que es «gratis». En la gran mayoría de las ocasiones con que la aplicación funcione y tenga las opciones que consideramos necearias nos damos por satisfechos. Hoy he podido comprobar como una de estas aplicaciones gratuitas (FileZilla Server), deja mucho que desear en cuanto a su seguridad de administración.

Filezilla_3.png

Os resumo rapidamente, hoy un cliente me ha solicitado crear un usuario en un servidor FTP para tener acceso a unos directorios del servidor. Hasta ahí todo normal, me conecto al servidor y tratao de acceder al servidor FTP (que había instalado otro proveedor) y me llevo una sopresita .. necesito una contraseña para poder acceder a la gestión del servidor FTP de FileZilla Server. Hasta aqui también todo normal, puesto que no es mala idea que se tenga que acceder mediante una contraseña a la gestión del servidor FTP, así evitamos que alguien pueda crear usuarios y dar accesos innecesarios o creados de forma incorrecta.  El problema es que necesitaba crear este usuario de forma legítima y encima en ese mismo momento, por lo que me digo: «por probar no pierdo nada» y hago clic en Cancelar y … mi gozo en un pozo, no me deja acceder a las opciones de administración y las tengo sombreadas (vamos, que no puedo hacer nada)
Filezilla_Server_2.png
Pero me vuelvo a repetir:  «por probar no pierdo nada» así que lo siguiente que hago es ir al directorio de instalación del FileZilla Server y trato de buscar algún fichero que tenga la contraseña cifrada y «malo será» que con alguna aplicación no pueda hacer algo … pero ahi mi sorpresa. Empiezo a abrir los distintos ficheros XML que existen en el directorio, y ya veo algo «extraño», un fichero que se llama FileZilla Server  y luego una copia (FileZilla Server – copia) umm ….. algo tenía que tener de interesante ese fichero para que alguien lo haya copiado .
Fillezila.png
Así que procedo a editarlo con el NOTEPAD  y acto seguido para agilizar pulso Control + B para poder buscar por la cadena de texto Passw  y ver si existe algo interesante y sopresa!!!! me encuentro una línea con el texto Admin Password y al lado la CONTRASEÑA en TEXTO PLANO!!!!!! Al fin y al cabo el fichero tiene la configuración del FileZilla, pero bien podían almacenar la contraseña de administración del servidor de otra forma ….

Filezilla_2.png
Y claro, ahora que creía que tenia la contraseña de acceso, trato de acceder a la consola del FileZilla FTP Server y acceso completo!!!Filezilla_Server_3.png
Como ya tengo acceso completo a la consola de administración, ya puedo terminar la tarea solicitada por mi cliente. Desde luego me ha sorprendido y mucho, por lo menos me esperaba algo más «seguro?».

Ahora que cada uno saque sus propias conclusiones, las mías … me las reservo.

Espero que os sea de utilidad!!!