Mejorar la Seguridad en Servidores de Archivos

Hace unos días estuve haciendo unas pruebas con las Reglas de Seguridad de Conexión (“Connection Security Rules”) del Cortafuegos, y probando diversas configuraciones llegué a una que me pareció interesante como medida adicional de seguridad para aplicar a un Servidor de Archivos (“File Server”)

Por supuesto que todos conocemos que el control de acceso a carpetas compartidas lo hacemos a través de los correspondientes permisos tanto de Compartido como de Seguridad, pero en algunos casos hay servidores con información muy sensible desde el punto de vista seguridad a los cuales queremos proteger de la mejor forma posible

El objetivo de esta nota es que, independientemente de los permisos de acceso a los recursos, podamos limitar desde qué máquinas cliente se puede acceder a los compartidos de un servidor

La infraestructura que utilizaré es parte de la misma que utilizo en todas las notas de este blog:

  • DC1.ad.guillermod.com.ar: Controlador de Dominio
  • SRV1.ad.guillermod.com.ar: Servidor Miembro con compartidos
  • CL1.ad.guillermod.com.ar: Cliente con W8.1 (puede ser otro S.O)
  • CL2.ad.guillermod.com.ar: Cliente con W10 (puede ser otro S.O.)

Ya que no hace al objeto de la nota, en todos los casos he iniciado sesión con la cuenta de administrador del dominio

Como la idea es poder hacer la configuración requerida a través de GPOs he separado algunas máquinas en Unidades Organizativas separadas

Una Unidad Organizativa con SRV1, llamada “SecureServers”

AUTH-01

Una Unidad Organizativa con CL1, llamada “SecureClients”

AUTH-02

Y a CL2 lo dejé en el contenedor “Computers”

AUTH-03

Para hacer la demostración, en SRV1 he creado una carpeta “Test” y la he compartido con permisos para todos los usuarios del Dominio (“Users”)

AUTH-04

Comenzaré creando y enlazando una GPO a la Unidad Organizativa “SecureServers” como muestran las siguientes pantallas

AUTH-05

Le ponemos un nombre claro

AUTH-06

Y la editamos

AUTH-07

En Computer Configuration / Policies / Windows Settings / Security Settings / Windows Firewall with Advanced Segurity / Windows Firewall with … / Connection Security Rules, creamos una nueva regla, como muestran las siguientes capturas de pantalla

AUTH-08

AUTH-09

Incluímos la dirección IP del servidor de archivos (SRV1) como “EndPoint 1”

AUTH-10

Aunque no lo he mostrado en la captura anterior, cuando pulsamos el botón “Add” tenemos varias opciones par incluir rangos de IPs, revísenla que es interesante

Seleccionamos que se requiera autenticación tanto para las conexiones entrantes como salientes (Debería haber seleccionado sólo las entrantes)

AUTH-11

Seleccionamos autenticación tanto de usuario como de máquina con Kerberos

AUTH-12

Y como el acceso a carpetas compartidas se hace al puerto TCP-445 lo ingreso en el “EndPoint 1”. Luego veremos que con esto no es suficiente

AUTH-13

Para todos los perfiles de cortafuegos

AUTH-14

Y le damos un nombre

AUTH-15

 

En SRV1 actualizamos la aplicación de las GPOs

AUTH-16

Y pruebo desde CL1, a ver si puedo tener acceso

AUTH-17

Vemos que tenemos acceso al compartido

AUTH-18

Como esta autenticación adicional se hace a través de IPSec, en SRV1 creo una consola MMC cargando el complemento “IPSec Monitor” para ver los detalles. Pero me llevo una sorpresa, no hay nada con respecto a IPSec. Observen que utilizo la “Security Associations” porque es donde es más fácil de ver si se está usando IPSec o no

AUTH-19

 

Pienso, pienso, pienso, … ¿y cómo se conectó sin usar IPSec?

¡Ya está! en SRV1 con “NETSTAT -ano” puedo ver la sesiones conectadas, y descubro que está conectado por TCP-139 (NetBIOS sobre TCP/IP)

AUTH-20

Entonces vuelvo a editar la GPO que se aplica al servidor, y análogamente a la “Connection Security Rule” anterior, hago otra pero ahora con el puerto TCP-139

AUTH-21

Aunque no lo muestro, refresco la actualización de la GPO en SRV1, y para evitar problemas con sesiones abiertas, reinicié tanto al cliente como al servidor

Y ahora pruebo nuevamente, pero me llevo otra sorpresa ¡No se conecta! :(

AUTH-22

 

El problema que nos falta resolver, es que debemos configurar al cliente para que pueda responder a este requerimiento de autenticación que pide el servidor

Para esto, en el cliente debemos aplicar mediante GPO, una “Connection Security Rule” complementaria a la del servidor, como muestran las siguientes capturas

AUTH-23

AUTH-24

AUTH-25

AUTH-26

AUTH-27

Indicamos la dirección IP del servidor de archivos como “EndPoint 2”

AUTH-28

AUTH-29

AUTH-30

AUTH-31

AUTH-32

AUTH-33

No vale la pena repetirla para TCP-139, ya que sabemos que no va a poder conectase por ese puerto, como vimos anteriormente

En CL1 actualizo la aplicación de GPOs

AUTH-34

Y pruebo

AUTH-35

Ahora sí, ya se conecta

AUTH-36

Y desde SRV con “IPSec Monitor” puedo observar que se han creado las correspondientes “Security Associations” tanto de “Main Mode” como de “Quick Mode” lo cual me indica que han sido autenticada la sesión, y que además se ha provisto integridad de datos

AUTH-37

AUTH-38

Para verificar que sólo podrán ingresar los clientes a los que se ha aplicado la GPO con la configuración adecuada, ahora trato de ingresar desde CL2, y verifico que no es posible el acceso al servidor, aunque por supuesto el usuario tiene permisos sobre el recurso

AUTH-39

 

De esta forma hemos mostrado cómo se puede aplicar una capa más de seguridad a un Servidor de Archivos, que contenga información sensible, para que pueda ser accedido sólo desde máquinas seleccionadas

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Adixon  On 18/02/2016 at 09:46

    Hola Guillermo. Entiendo que tal como indicas esto es solo una capa mas, porque facilmente yo puedo otorgar o denegar permisos directamente a la carpeta compartida y podria decirle que permita conexiones solo de las maquinas cl1 (ejemplo). Gracias, saludos!

  • david  On 19/04/2016 at 11:29

    esto mismo se puede hacer en windows server 2008?

    • Guillermo Delprato  On 19/04/2016 at 11:59

      Si, por supuesto que sí David, pero como siempre con temas de seguridad que pueden afectar la conectividad, es conveniente probarlo primero en un ambiente de laboratorio

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: