Presentación - Capitulo 4 (Windows)
Presentación - Capitulo 4 (Windows)
Presentación - Capitulo 4 (Windows)
FUNDAMENTOS DE REDES
PARA FORTALECER
WINDOWS
MASTERING WINDOWS SECURITY AND HARDENING - SECOND EDITION
BRAYAN CUEVAS VOLQUEZ 202010378
INTRODUCCIÓN
En este capítulo, cubriremos la importancia de los componentes de red de Windows para la seguridad general y el
fortalecimiento de sus sistemas Windows. La seguridad de la red ha estado tradicionalmente en el centro de la
seguridad, pero recientemente esto ha cambiado. No se ha vuelto menos importante, pero con la adopción de la
computación en la nube y la rápida aceleración del trabajo remoto, las estrategias de seguridad deben cambiar de un
fuerte enfoque en el perímetro de la red a los niveles de enfoque de la aplicación, el dispositivo y la identidad. Los
dispositivos ya no se encuentran dentro de las oficinas corporativas y los usuarios requieren flexibilidad para
acceder a los recursos de la empresa desde cualquier lugar.
Además de implementar controles estrictos a nivel de escritorio y adoptar una estrategia para proteger las redes
virtuales ( VNET ) y los recursos de la nube. Con esto viene una nueva complejidad, y es importante contar con las
herramientas y los conjuntos de habilidades adecuados que respalden la visión estratégica, la implementación y el
mantenimiento de sus herramientas y soluciones de red.
FUNDAMENTOS DE LA SEGURIDAD DE LA RED
La creación de redes puede ser una tarea desafiante para los equipos de tecnología. Las redes pueden ser muy
sensibles y, por lo general, asumir la culpa de la mayoría de las interrupciones, sin que las personas conozcan la
verdadera causa raíz de un problema. Esto se debe simplemente a que la mayoría de nuestros datos atraviesan una
red, por lo que es fundamental que funcione de manera óptima. Si no es así, puede poner de rodillas a una empresa
debido a lo dependientes que nos hemos vuelto de la red. Además de la ya desafiante tarea de las operaciones de
red, también nos preocupa la seguridad de la red. Garantizar que los datos que transmitimos sean seguros, que
ningún perpetrador acceda a nuestra red que no debería, evitar el tráfico que no es bienvenido y garantizar que los
datos confidenciales estén aislados son algunos de los desafíos que enfrentamos en este espacio.
FUNDAMENTOS DE LA SEGURIDAD DE LA RED
Antes de revisar algunos de los principales tecnologías de seguridad de red, es importante que revisemos y
cubramos la interconexión de sistemas abiertos ( OSI ) y Modelos de conjunto de protocolos de Internet ( TCP/IP ).
Estos modelos se han creado para permitir que se haga referencia a un marco/estándar abierto.
El modelo OSI es un marco que se utiliza más como una guía que proporciona un estándar para las comunicaciones
de red. Proporciona una excelente referencia que nos permite comprender el flujo del tráfico de la red de un punto
final al otro y sirve como una excelente herramienta de solución de problemas para que comprendamos dónde
pueden estar ocurriendo fallas o averías. El modelo TCP/IP se compone de protocolos estándar abiertos
paracomunicación de red y se ha vuelto más ampliamente adoptado sobre el modelo OSI.
FUNDAMENTOS DE LA SEGURIDAD DE LA RED
El siguiente diagrama proporciona una comparación del modelo OSI y el modelo TCP/IP, incluidos ejemplos de lo
que se incluye en cada capa. Comprender dónde está fallando la comunicación dentro de la red ayudará
significativamente a un experto en seguridad con cualquier tarea de investigación y/o solución de problemas:
LÍNEA DE BASE DE LA RED
Los puntos de referencia de seguridad de CIS son un gran complemento para las líneas de base de seguridad de Microsoft al
desarrollar sus controles de seguridad. Los puntos de referencia de CIS generalmente se reconocen más como un estándar para
fortalecer sus sistemas y, aunque habrá mucha superposición entre las líneas de base de Microsoft y CIS, encontrará que CIS
tiende a incluir controles de seguridad más estrictos. Si utiliza las líneas de base de seguridad de Microsoft y los puntos de
referencia de seguridad de CIS, recomendamos centrarse en las siguientes áreas con respecto a las comunicaciones de red entre
clientes y servidores de Windows:
• La configuración del cliente de red de Microsoft se centra en cómo los clientes se comunican con los servidores y cómo se
manejan esas comunicaciones.
• La configuración del servidor de red de Microsoft se centra en cómo los servidores aceptan las comunicaciones de los clientes
y manejan esas sesiones.
• La configuración de acceso a la red controla cómo los clientes y los usuarios se conectan e interactúan de forma remota entre
sí y con los recursos compartidos de archivos.
• La configuración de seguridad de la red se centra en fortalecer los protocolos y los métodos de autenticación utilizados para
autorizar la comunicación entre clientes y servidores.
CLIENTES DE WINDOWS
Acceder a red y configuración de
Internet, abra Configuración de
Windows y haga clic en Red e
Internet . Se le presentará la
consola de administración de red e
Internet , como se muestra en la
siguiente captura de pantalla
tomada en Windows 11:
CLIENTES DE WINDOWS
Aquí tendrás acceso a todos los componentes relacionados con la red en su dispositivo Windows. Puede ver el
estado actual de su red, la configuración específica del adaptador ( Wi-Fi , VPN , Ethernet , etc.), el punto de acceso
móvil , el modo avión , el proxy y la configuración de acceso telefónico . Dentro de la configuración de red
avanzada , tendrá la capacidad de deshabilitar sus adaptadores de red, ver el uso de datos, ver el hardware y las
propiedades de conexión, restablecer la red de sus adaptadores y conectarse a Más opciones de adaptador de red y
configuración de Firewall de Windows .
WLAN/WI-FI
La tecnología inalámbrica es una necesidad en el mundo de la tecnología actual. Casi todas las computadoras
portátiles y dispositivos móviles tendrán algún tipo de conectividad Wi-Fi disponible para su uso. Con todas las
tecnologías, existen amenazas, y esto se aplica a Wi-Fi. Desafortunadamente, Wi-Fi es mucho más susceptible a las
vulnerabilidades que las tecnologías de red de área local ( LAN ) debido a que la información se transmita por aire
y no por cable, mucho más difícil de vulnerar. Hay muchas amenazas cuando se trata de Wi-Fi, y algunas de las
más conocidas incluyen puntos de acceso o redes no autorizados, ataques de intermediarios y ataques no
autorizados. Acceso a sistemas de red de área local inalámbrica ( WLAN ) inseguros.
Asegurar su Wi-Fi corporativo no es una tarea fácil y requerirá ingenieros de redes muy capacitados para diseñar e
implementar correctamente, especialmente con la implementación de seguridad de nivel empresarial.
WLAN/WI-FI
Nosotros recomendamos configurar las siguientes políticas de seguridad para la configuración de Wi-Fi/WLAN en sus dispositivos
corporativos:
• Bloquee las conexiones a puntos de acceso abiertos sugeridos y redes compartidas por contactos o servicios pagos. Estas
características se conocen como Wi-Fi Sense.
• Bloquear el uso compartido de Internet.
• Bloquear wifi directo.
• Minimice la cantidad de conexiones simultáneas a Internet o a un dominio de Windows. Configure la prevención de Wi-Fi
cuando esté en Ethernet.
• Bloquee las conexiones a una red que no sea de dominio cuando se conecte a una red de dominio autenticada.
• Bloquee el acceso a los asistentes de Windows Connect Now ( WCN ).
• Bloquee la configuración de los ajustes inalámbricos mediante WCN.
• Elimine las redes Wi-Fi no utilizadas si es posible.
VPN
Cuanto más remota sea la mano de obrase ha convertido, más confiamos en la conectividad VPN. VPN es
esencialmente una tecnología que permite a los usuarios conectarse a su red corporativa a través de una conexión
segura cifrada a través de Internet. VPN permite a un usuario estar en cualquier lugar en cualquier momento y
acceder a los datos corporativos de forma segura. Como parte de sus políticas y estrategia remota, es
fundamental que se asegure de que los usuarios se conecten a una VPN cuando trabajen de forma remota. El
riesgo de conectar su dispositivo de trabajo (o cualquier dispositivo) para abrir conexiones Wi-Fi en lugares
públicos genera un riesgo significativo. Al conectarse a cualquier red fuera de su oficina corporativa, debe
conectarse una VPN para garantizar una sesión de trabajo segura. La tecnología VPN existe desde hace mucho
tiempo y es una herramienta con la que los usuarios probablemente estén familiarizados cuando trabajan de
forma remota.
VPN
Un desafío principal con las VPN es que requieren la interacción del usuario para conectarse una vez que inician
sesión en el dispositivo. Para un entorno de trabajo más seguro, la VPN debería conectarse automáticamente una
vez que se conecte a Internet. microsoft tiene una tecnología conocida como Always On VPN , que es un perfil
VPN de Windows configurable que puede conectarse automáticamente cuando está fuera de su red corporativa.
Esta es una gran tecnología y funciona muy bien!
Las soluciones VPN permanentes adicionales para Windows están disponibles en Palo Alto Networks a través de su
cliente GlobalProtect y AnyConnect de Cisco. También hay una opción dentro de Windows 11 para usar el cliente
VPN incorporado para conectarse a otros servicios o proveedores de terceros.
SERVIDOR DE WINDOWS
Para el servidor de Windows, los componentes también
están disponibles en la configuración de Red e Internet .
Para abrirlos, busque Red , haga clic en Configuración y
luego seleccione Red e Internet .
Al igual que en los dispositivos cliente, la consola de
administración de redes e Internet para Windows Server
brindará acceso a todos los componentes de la red de
Windows, como el estado actual de la red, el Firewall de
Windows, el Centro de redes y recursos compartidos, la
configuración específica del adaptador para VPN y
Ethernet, configuración de proxy y funciones de
restablecimiento de red.
FUNCIONES Y CARACTERÍSTICAS DEL SERVIDOR
Además del sistema operativo base para Windows Server, hay funciones y funciones de servidor. Hay muchas funciones y
funciones disponibles que proporcionarán servicios independientes para su empresa. Algunos de los más comunes incluyen AD
Domain Services , servidor web ( IIS ) y servidor SMTP para retransmisión de correo electrónico.
Hay muchos roles y características disponibles que admiten funciones específicas de la red. Algunos de ellos incluyen lo
siguiente:
• Servidor DNS
• Servidor DHCP
• Servicios de certificados de Active Directory
• Política de red y servicios de acceso
• Acceso remoto
• Equilibrio de carga de red
• Servidor SMTP
• Servicio SNMP
SOLUCIÓN DE PROBLEMAS DE RED
Como profesional de la seguridad, usted necesitará estar familiarizado con la resolución de problemas y el trabajo
de investigación, especialmente cuando intente construir una línea de tiempo durante un incidente. Lo más probable
es que la capa de red sea un componente clave en el proceso de resolución de problemas e investigación. Microsoft
inicialmente tenía una herramienta propia que podía capturar y analizar el tráfico de la red, conocida como
Microsoft Network Monitor, que era reemplazado por Microsoft Message Analyzer ( MMA ). Desafortunadamente,
MMA se retiró y Microsoft no tiene planes de reemplazarlo. Afortunadamente, hay muchas alternativas, y estas
herramientas son ampliamente utilizadas hoy en día por profesionales de redes y seguridad por igual.
Algunas de las herramientas de software gratuito más ampliamente adoptadas que permiten la inspección y el
análisis del tráfico de red incluyen las siguientes:
• Wireshark
• Telerik violinista
FIREWALL DE WINDOWS DEFENDER Y SEGURIDAD
AVANZADA
Windows Defender Firewall es un firewall basado en software que está habilitado de fábrica y se usa para controlar
las conexiones a su PC. Para ver la configuración básica del firewall, incluido el estado de cada perfil, abra
Seguridad de Windows desde la aplicación Configuración y seleccione Firewall y protección de red . Hay
configuraciones de seguridad locales que puede cambiar desde aquí, incluidas configuraciones específicas para
cada perfil de red, como bloquear conexiones entrantes, permitir que una aplicación atraviese el firewall y restaurar
la configuración predeterminada del firewall.
Los tres tipos de perfiles de red en el Firewall de Windows son dominio , privado e invitado / público , de la
siguiente manera:
• La configuración del perfil de dominio
• El perfil privado
• El perfil público
FUNCIONES DE PROTECCIÓN WEB EN MICROSOFT
DEFENDER PARA ENDPOINT
Microsoft Defender para Endpoint tiene una lista de características conocidas como protección de próxima
generación que están disponibles para los clientes que han comprado un tipo de licencia de Microsoft Defender
Endpoint Plan 1 o 2. En estas funciones se incluye un conjunto de soluciones de protección web y de red que
pueden ayudar a controlar las conexiones de red a sus clientes. Estas características, conocidas como protección
web y protección de red, pueden complementar o posiblemente reemplazar un servicio de proxy de red tradicional
para el control del tráfico web.
USO DE INDICADORES PERSONALIZADOS
Los indicadores personalizados de compromiso
( IOC ) permiten la seguridad de quipos para crear
listas de bloqueo de hash de archivos, direcciones IP,
URL/dominios y certificados. Cuando se agrega una
entrada a la lista de indicadores personalizados, una
respuesta la acción se puede configurar para permitir,
auditar, advertir o bloquear. Si usa Defender para
Endpoint operativamente para SecOps, también puede
generar alertas y establecer la gravedad y la categoría
para cada elemento. La lista de indicadores se puede
encontrar en este vínculo en el portal de seguridad de
Microsoft 365 Defender para puntos de conexión y se
verá como en la siguiente captura de pantalla:
FILTRADO DE CONTENIDO WEB
Al configurar una política de filtrado de contenido web, hay cinco categorías principales y cada una tiene varias
categorías secundarias para refinar aún más el alcance. Están disponibles las siguientes categorías de contenido:
• El contenido para adultos contiene categorías infantiles para cultos, apuestas, desnudez, pornografía o contenido
sexualmente explícito, educación sexual, imágenes de mal gusto y violencia.
• El ancho de banda alto le permite bloquear sitios que están categorizados como sitios de descarga, intercambio
de imágenes, punto a punto o transmisión de medios y descargas.
• La responsabilidad legal contiene categorías de abuso infantil, actividad delictiva, piratería informática, odio e
intolerancia, drogas ilegales, software ilegal, trampas escolares, autolesiones y armas.
• Ocio le permite bloquear sitios de chat y juegos, mensajería instantánea, sitios de redes profesionales, redes
sociales y correo electrónico basado en la web.
• Sin categoría le permite bloquear sitios web que son dominios recién registrados o estacionados.
BLOQUEO DE CONEXIONES CON PROTECCIÓN DE RED
La protección de red es una función de seguridad que se puede habilitar a través de las funciones de protección
contra vulnerabilidades de seguridad de Microsoft Defender. La protección ayuda a reducir los ataques de fuentes
de IP y URL de baja reputación conocidas por suplantación de identidad, ingeniería social y redireccionamientos de
navegador maliciosos según los análisis del servicio de inteligencia de amenazas de Microsoft.
La protección de la red es una excelente característica para las pequeñas o medianas empresas o para aquellos que
buscan alejarse de los servicios de proxy y la administración de terceros. necesarios para mantenerlos. Es
compatible con los siguientes tres modos:
• No configurado mantiene la función deshabilitada, que es la configuración predeterminada de Windows.
• Habilitado bloqueará las conexiones y enviará registros de actividad a Microsoft 365 Defender.
• La auditoría solo permitirá conexiones, pero también enviará registros de actividad a Microsoft 365 Defender.
CONTROL DEL TRÁFICO CON NSG
Un NSG es un recurso de Azure que actúa como un firewall con estado para evaluar el tráfico entrante y saliente. Es usado
para permitir o denegar comunicaciones a través de un conjunto de reglas de seguridad ponderadas que se evalúan en
función de un valor entero de prioridad utilizando información de cinco tuplas. Los recursos de NSG se pueden asociar con
subredes o interfaces de VNET. Una regla de seguridad dentro de un NSG tiene las siguientes propiedades de cinco tuplas:
• Nombre , que se utiliza para identificarlo; por ejemplo, AllowRDP .
• Prioridad , entre 100 y 4.096, que se utiliza como peso durante la evaluación.
• Origen o Destino . Las opciones pueden incluir ANY , una IP individual, un rango especificado en notación CIDR o una
etiqueta de servicio.
• Soporte de protocolo para TCP , UDP , ICMP o Cualquiera .
• Dirección (entrante o saliente).
• Gama de puertos .
• Acción , como permitir o denegar.
USO DE ETIQUETAS DE SERVICIO PARA SERVICIOS DE
AZURE
El valor de destino de un valor la regla en un NSG también se puede establecer en una etiqueta de servicio de
Azure. Las etiquetas de servicio están disponibles para ayudar a simplificar la creación y el mantenimiento de las
reglas de seguridad. En lugar de especificar manualmente rangos de IP para puntos de conexión comunes o
administrar conexiones que tienen detalles cambiantes, Microsoft mantiene la información de conexión para estos
servicios dentro de una etiqueta de servicio. Los ejemplos de etiquetas de servicio en Azure incluyen valores para
redes virtuales, almacenamiento, SQL o Internet.
Nota: Las reglas de seguridad también pueden ser reglas de seguridad aumentada que contienen una lista
separada por comas de rangos de IP en notación CIDR en lugar de tener que crear reglas separadas para cada
bloque de IP.
AGRUPACIÓN DE RECURSOS CON ASG
Los ASG son un adicional mejora para simplificar las reglas de NSG, ya que le permiten agrupar varios
componentes que pueden impulsar el back-end de una aplicación. Puede usar este grupo personalizado y usarlo
dentro de una regla de seguridad, como una etiqueta de servicio. Por ejemplo, supongamos que tiene algunos
servidores de aplicaciones back-end y servidores de bases de datos compartidos. A medida que evolucionan los
requisitos comerciales, puede existir la necesidad de utilizar estos recursos para dar servicio a otras funciones
comerciales que se alojan en diferentes subredes. Al agrupar estos recursos y crear un ASG, puede especificar el
origen como esta agrupación en la regla NSG y no tiene que hacerlo. Definir granular mente cada componente en
el futuro.
CREACIÓN DE UN NSG EN AZURE
Es común cuando construir una nueva infraestructura en Azure para implementar un servidor de caja de salto. Esto
es útil para permitir que la conectividad desde Internet acceda a los recursos dentro de su red privada sin necesidad
de una VPN o un entorno de infraestructura de escritorio virtual (VDI) . Aunque recomendamos encarecidamente
sólo mediante el uso de un cuadro de salto según sea necesario para uso de emergencia y apagándolo cuando no
esté en uso, queremos demostrar cómo crear una regla NSG que permita el tráfico RDP a través de Internet a un
servidor de Windows. Para hacer esto, configuraremos un puerto no común para ayudar a disuadir a los actores
malintencionados que buscan activamente conexiones que escuchen en el puerto 3389 (RDP) a través de Internet.
Esta demostración asume que los siguientes recursos ya se han configurado en Azure:
• Un grupo de recursos, Azure VNET y una subred
• Máquina virtual de Windows con una dirección IP pública asignada
RECOMENDACIONES DE SEGURIDAD PARA AZURE
NETWORKING
Mientras trabajaba con Azure las redes pueden ser muy complejas, aquí hay algunas mejores prácticas de seguridad
recomendadas para tener en cuenta al crear nuevos recursos, en particular, máquinas virtuales de Windows:
• Asegúrese de que el acceso RDP no esté permitido directamente desde Internet. Utilice una implementación de
VPN o un entorno VDI para la conectividad interna.
• Deshabilite el acceso SSH desde Internet mediante un NSG.
• Deshabilite los servicios UDP desde Internet mediante un NSG.
• Solo permita que los puertos, protocolos y servicios necesarios se conecten a sus recursos a través de los NSG.
CONECTARSE DE FORMA PRIVADA Y SEGURA A LOS
SERVICIOS DE AZURE
Anteriormente, mencionamos cómo, de forma predeterminada, interna los recursos se conectan a los servicios de
Azure mediante puntos de conexión de servicio a través del tejido de red de Azure. Esta comunicación no se
produce a través de su propia red privada y segura y no impide el acceso a otros recursos dentro de Azure. Para
adaptarse a esto, Azure tiene un servicio llamado puntos de conexión privados . Los puntos finales privados
permiten que los recursos internos se conecten directamente a los servicios PaaS de forma privada a través de su
propia VNET, lo que permite un mayor control y privacidad. Al crear un recurso de enlace privado, se le asigna una
IP privada interna y, por lo tanto, deberá utilizar búsquedas de DNS para la resolución de nombres y la conexión
mediante un alias. Hasta la fecha, hay muchos servicios que admiten enlaces privados.
PROTECCIÓN DE CARGAS DE TRABAJO DE WINDOWS EN
AZURE
Dos soluciones de seguridad de red adicionales en Azure que vale la pena mencionar para las implementaciones
de Windows son Azure Web Application Firewall ( WAF ) y Azure DDoS Protection.
WAF es un servicio que normalmente se usa para complementar el punto de entrada de front-end de una
aplicación web y se agrega a Azure Front Door o Application Gateway. El WAF usa reglas OWASP para ayudar a
proteger su aplicación web de técnicas de ataque genéricas comunes, como secuencias de comandos entre sitios,
inclusión de archivos locales e inyección de SQL.
Azure DDoS Protection es un servicio que ayuda a proteger contra ataques de denegación de servicio distribuido (
DDoS ). Los ataques DDoS generalmente se usan para apuntar a los recursos con el propósito de desconectarlos
o inutilizarlos al consumir todos los recursos disponibles. Si está implementando servicios en Azure, hay un nivel
básico de protección DDoS de Microsoft disponible de forma predeterminada a través de la infraestructura global
de Azure.