Ediciones ENI Editorial | líder en informática
Seguridad de red en Windows
El cortafuegos de Windows
1. Introducción
Los sistemas operativos Windows y Windows Server incorporan un cortafuegos o firewall. Se trata de un cortafuegos de software denominado Firewall de Windows Defender en los sistemas de Microsoft.
Se utiliza para controlar qué flujos están autorizados o prohibidos, ya sean entrantes o salientes, en la máquina local.
Para comunicarse en la red, cada servicio o aplicación utiliza uno o varios puertos de red. Controlando el acceso a estos puertos es como podemos determinar si autorizamos o no una conexión.
El cortafuegos de Windows es capaz de controlar las conexiones en los puertos TCP y UDP, en ICMP, pero también las conexiones de programa.
Admite la creación de reglas con parámetros comunes que se encuentran en los cortafuegos en general:
-
dirección IP local;
-
dirección IP remota;
-
puerto local;
-
puerto remoto;
-
tipo de protocolo.
Además, existen condiciones avanzadas para controlar las conexiones a una aplicación, un servicio o un tipo específico de conexión (acceso remoto, red inalámbrica y red local) o sólo para determinados ordenadores autorizados.
2. El concepto de perfil
El cortafuegos de Windows tiene tres perfiles: Dominio, Privado y Público. El sistema selecciona automáticamente el perfil de cortafuegos adecuado en función de la red a la que esté conectado.
-
El perfil de dominio (Domain) se aplica a redes en las que la máquina Windows se puede autenticar en un controlador de dominio. Este suele ser el caso de las empresas en las que las máquinas están integradas en un dominio de Active Directory.
-
El perfil privado (Private) es un perfil asignado por el usuario, útil para la red doméstica.
-
El perfil público (Public), que es el modo por defecto, se utiliza para designar redes públicas. Este perfil se aplica cuando está conectado a la red Wi-Fi de su casa o cuando se conecta desde un hotel, tren, aeropuerto, etc.
Esta noción de perfil es importante, porque cada regla de filtrado se puede aplicar a uno o varios perfiles.
Esto permite autorizar una conexión cuando el cortafuegos está en modo dominio, que es el caso cuando el usuario está conectado a la red de la empresa, mientras que rechaza esta misma conexión cuando la máquina está conectada...
Centro de redes y recursos compartidos
1. Descubrir el Centro de redes y recursos compartidos
El Centro de redes y recursos compartidos es una función integrada en todas las versiones de los sistemas Windows, que permite acceder a la configuración de red de la máquina.
Desde el Centro de redes y recursos compartidos, el administrador puede ver el estado de las distintas tarjetas de red de la máquina, así como configurarlas. Desde aquí, el administrador también puede ver las conexiones de red activas y crear una nueva conexión (a un servidor VPN, por ejemplo).
Haciendo clic en el nombre de una tarjeta, por ejemplo, Ethernet, el administrador puede ver el estado de la conexión (rendimiento, tiempo de actividad, estado del acceso a Internet, bytes enviados y recibidos, etc.). Desde la ventana de propiedades, el administrador también puede definir una configuración de red IPv4 e IPv6.
Haciendo clic en el botón Configurar de las propiedades de la tarjeta de red se accede a la configuración de la propia tarjeta. El acceso a esta sección es útil para activar o desactivar determinadas funciones, ajustar el tamaño de las tramas (utilizando Jumbo Frames, por ejemplo) o etiquetar paquetes a una VLAN específica.
2. Activar y desactivar una tarjeta de red
Ya sea para aislar una máquina o para intentar resolver una avería del sistema, el administrador puede necesitar...
Seguridad de redes inalámbricas
Aunque el uso de Wi-Fi para conectarse a servidores no es recomendable ni habitual, puede haber situaciones o necesidades específicas que requieran dicha configuración. En este contexto es en el que hemos decidido abordar el tema de la seguridad de las redes inalámbricas en un entorno Windows Server. Aunque el soporte inalámbrico está deshabilitado por defecto en Windows Server, es crucial comprender las implicaciones de su uso y establecer las medidas de seguridad adecuadas para proteger las redes inalámbricas frente a posibles amenazas.
En esta sección, exploraremos las mejores prácticas y las herramientas disponibles para proteger eficazmente las redes inalámbricas en un entorno Windows Server.
1. Configuración de la red inalámbrica
La compatibilidad con redes inalámbricas se puede activar desde el Administrador del servidor o mediante un comando PowerShell.
Abra Administrador del servidor, haga clic en Agregar roles y características y haga clic en Siguiente.
Elija Servicio Wireless en la ventana de selección de características y haga clic en Siguiente hasta que finalice la instalación.
A continuación, reinicie el servidor.
Una vez instalada la característica, la detección de redes no funcionará. También tendrá que iniciar el servicio.
Inicie el servicio llamado Configuración automática de WLAN.
Para instalar la funcionalidad a través de PowerShell:
Introduzca el siguiente comando:
Install-WindowsFeature -Name Wireless-Networking A continuación, inicie el servicio con:
Start-Service wlansvc...Proteger el acceso remoto
1. Introducción
El acceso remoto a un servidor Windows se basa en el protocolo RDP (Remote Desktop Protocol), a través de una conexión establecida en el puerto 3389 (el número de puerto utilizado por defecto por este servicio).
En Windows, la aplicación nativa Conexión a Escritorio remoto se utiliza para acceder de forma remota a una máquina (servidor o estación de trabajo) mediante el protocolo RDP.
Esta conexión proporciona acceso visual completo a la máquina remota y también transmite secuencias de audio. A continuación se muestra un ejemplo de conexión al escritorio de un host llamado s-dc.eni.local:
En un servidor Windows, el acceso a Escritorio remoto está desactivado por defecto, a diferencia de la gestión remota (conexión a través del protocolo WinRM, en particular desde PowerShell).
Sólo hacen falta unos clics para activarlo, pero ¿qué ocurre con la seguridad de este acceso remoto? En esta sección, examinaremos la seguridad del acceso remoto mediante el protocolo RDP y la trazabilidad de estas conexiones.
2. Acceso RDP y autenticación NLA
Al habilitar el acceso al escritorio remoto, el administrador puede elegir si habilita o no la opción llamada Permitir solo las conexiones desde equipos que ejecuten Escritorio remoto con Autenticación a nivel de red (recomendado).
NLA (Network Level Authentication) es un mecanismo de autenticación basado en el protocolo CredSSP (Credential Security Support Provider), cuyo objetivo es proteger las conexiones RDP. El protocolo TLS también se utiliza para transmitir identificadores a través de un canal seguro.
Desde Windows Server 2012 R2, el NLA está activado por defecto y permite que la autenticación se realice a nivel de red: el usuario aún no tiene acceso al servidor y debe autenticarse.
Cuando se establece una conexión RDP utilizando el modo de autenticación NLA, se abre una ventana de autenticación similar a la que se muestra en la siguiente imagen. En caso contrario, el usuario se debe autenticar directamente en la interfaz de conexión de Windows.
Con este modo de autenticación, los intercambios entre el cliente y el servidor se cifran mediante una clave simétrica.
Desde el punto de vista de la seguridad, NLA pretende...
Gestión de redes con PowerShell
1. Introducción
El módulo NetTCPIP de PowerShell incluye una serie de cmdlets para configurar sistemas de red Windows desde la línea de comandos o mediante scripts. Este módulo está integrado de forma nativa en todos los sistemas Microsoft.
La ventaja de PowerShell es su capacidad para formatear la información como desee, lo que le permite obtener resultados personalizados, a diferencia de las pantallas gráficas que se muestran de la misma manera para todos.
Si está implementando un servidor en modo Core, es decir, con una interfaz gráfica minimalista, se recomienda el conocimiento de estos comandos. Sin embargo, funcionan de la misma manera tanto si está ejecutando un servidor con o sin el entorno de escritorio.
Para ejecutar los comandos siguientes, abra una consola PowerShell como administrador.
2. Lista de tarjetas de red de la máquina
Cuando quiera mostrar detalles o configurar una tarjeta de red, el primer paso es identificarla.
El siguiente comando se utiliza para listar las tarjetas de red conocidas por el sistema, que también se pueden ver en el Centro de redes y recursos compartidos de Windows.
Get-NetAdapter Para cada interfaz, el comando indica información como el nombre, el número de índice (información útil para actuar sobre una tarjeta concreta sin utilizar su nombre), el estado, la dirección MAC y la velocidad de conexión.
3. Cambiar el nombre de una tarjeta de red
El nombre que Windows asigna a las tarjetas de red no es muy explícito. En un servidor con varias tarjetas, conviene utilizar un nombre más evocador, como el nombre de la red o de la VLAN (o ambos).
Por ejemplo, la tarjeta llamada Ethernet se podría renombrar como VLAN-SERVIDORES, utilizando el siguiente comando:
Rename-NetAdapter -Name Ethernet -NewName VLAN-SERVIDORES Inmediatamente se cambia el nombre de la interfaz de red y este cambio es visible desde la línea de comandos y desde la interfaz gráfica de Windows.
4. Visualizar la configuración TCP/IP
Por defecto, todas las tarjetas de red de Windows están configuradas en modo automático, es decir, DHCP.
En PowerShell, el cmdlet que se utiliza para mostrar la configuración de red TCP/IP de todas las interfaces de red de la máquina, a excepción de las interfaces virtuales...
IPsec
1. Introducción
En una red interna o híbrida, el acceso a los servidores mediante ping o descubrimiento de puertos se concede a menudo a las máquinas ordinarias del dominio, así como a los usuarios sin privilegios. Esta apertura puede ser una fuente importante de vulnerabilidad, ya que un atacante o pentester que haya conseguido infiltrarse en la red puede realizar solicitudes fácilmente y sondear la superficie de ataque, comprometiendo así la seguridad general del sistema.
Aunque esta amenaza se puede mitigar con medidas como el filtrado MAC o 802.1X, la implementación de IPsec sigue siendo una capa adicional de seguridad esencial para proteger las comunicaciones de red sensibles, que exploraremos en esta sección.
2. Definición
IPsec (IP Security) es un protocolo de seguridad de red integrado en los sistemas operativos modernos, incluido Windows Server. Ofrece una serie de funciones de seguridad, como autenticación, integridad de datos y cifrado, para proteger las comunicaciones de red frente a diversas amenazas.
3. Objetivos de seguridad
IPsec pretende alcanzar una serie de objetivos de seguridad, entre ellos:
-
Autenticación de los interlocutores de la comunicación: IPsec garantiza que las entidades que se comunican son quienes dicen ser, evitando así los ataques de usurpación de identidad.
-
Protección contra ataques "man-in-the-middle": IPsec garantiza que los datos intercambiados entre las partes están protegidos contra la interceptación y modificación por parte de terceros malintencionados.
-
Confidencialidad de los datos: al utilizar el cifrado, IPsec garantiza la confidencialidad de la información intercambiada, incluso si el tráfico es capturado por atacantes.
4. Uso de IPsec
IPsec se utiliza ampliamente en varios escenarios, incluyendo:
-
Proteger las conexiones VPN: IPsec se utiliza habitualmente para proteger los túneles VPN (Virtual Private Network), lo que permite a los usuarios remotos acceder de forma segura a los recursos de la red corporativa a través de Internet.
-
Proteger el tráfico entre servidores: en un centro de datos, IPsec se puede utilizar para asegurar el tráfico entre distintos servidores, garantizando la confidencialidad e integridad de los datos intercambiados.
-
Asegurar las comunicaciones entre sitios: las organizaciones utilizan IPsec para asegurar...