jueves, 12 de febrero de 2015

Virtualizar es sencillo, hacerlo bien... no tanto.

Amigos de Inseguros.

En el capítulo de hoy vamos a intentar aclarar algunas dudas básicas sobre sistemas de virtualización.

El proceso de instalación de un hypervisor es muy sencillo, se instala un S.O. como pueda ser Vmware, Xen Server, Hyper-V, habilitamos virtualización a nivel de kernel en cualquier Linux moderno...


Bien, una vez tenemos el hypervisor, procedemos a instalar unas máquinas virtuales por encima, como hacemos con virtual box, vmware workstation, pararells y demás hypervisores tipo 2.

Hasta ahí es muy sencillo, pero claro, si vas a virtualizar sistemas complejos en producción, con mucho rendimiento o criticidad, la cosa se va complicando mucho. Puede ser que en primeras instancias todo funcione bien, pero seguro que si no diseñas bien un plan de virtualización, en el futuro tendrás problemas.

Voy a intentar daros unos cuantos consejos, basados en mi experiencia, para que tengáis en cuenta si os vais a animar a virtualizar algún servidor, o por si lo contrario tienes una infraestructura virtual y necesitas más performance.

Por ejemplo, cuando creas un disco duro virtual, sea el sistema que sea, tenemos la opción de establecer el disco con un tamaño fijo o dinámico. En el segundo caso, se reserva en el disco físico el espacio utilizado, aunque en el sistema operativo virtualizado veamos el total. Por ejemplo, podemos crear un disco de 100 gb, que nuestro Windows virtual verá como 100gb, pero que físicamente, en el disco duro físico o cabina, ocupe 20gb. Esto es interesante para sobredimensionar, pero la escritura en disco será MUCHO MAS LENTA. Un ejemplo podría ser lo que tarda en crearse un disco dinámico de 20 gb o de tamaño fijo. En el caso de tamaño fijo, el disco duro virtual se formateará con "ceros" todo el tamaño. Un poco de tiempo al principio nos dará MUCHO mas rendimiento a posteriori.

Otra cuestión importante, en Hyper-V es los servicios de integración. Cuando instalas una VM debes contar con que haya una versión oficial de los servicios de integración. Si no hay una versión, puedes instalar el sistema que quieras, pero la tarjeta de red del sistema virtual correrá a 100mb, no a giga. Esto en servidores en producción es un FALLO de rendimiento importante.

Otra cuestión, cuando creas el disco duro bajo Hyper-V, créalo con controladora SCSI, no IDE, ya que de esta manera podremos ampliar el disco duro. Si esta en modo IDE no podremos, y tendremos que andar añadiendo discos, ampliando volúmenes y complica las operaciones IT. El rendimiento es exactamente igual, pero es mas cómodo usar SCSI.

Otra cuestión suele ser las bases de datos.
Por ejemplo, si vas a virtualizar SQL SERVER debes activar PAGE LOCK MEMORY en el Windows invitado. Por qué?

Sql Server hace gestiones constantemente en memoria para mantener registros consultados en memoria cache, con el fin de agilizar consultas. Sin embargo, si tenemos por debajo un hypervisor con gestión de memoria dinámica, como Vmware, este lo que va a hacer es intentar liberar RAM constantemente de las VM´s para poder tener más disponible, para las VM´s...

Aparte del tunning normal de Sql server, recomiendo activar PAGE LOCK MEMORY mediante una GPO local en el Windows virtual, y configurar la cuenta de servicio que arranca Sql Server para que mantenga en memoria bloqueada toda la ejecución, y así prever la destrucción de cache. Es como si el recolector de basura de JAVA intentara limpiar memoria constantemente, incluso a medio de un proceso... Bueno no es tan malo, pero casi :-).

Otra recomendación es si tenemos un sistema virtual con acceso intensivo a datos, separemos la ubicación física de los discos virtuales en distintos discos físicos. Recuerda que aunque sean virtuales, en algún momento la cabeza lectora del disco tendrá que alternar para leer/Escribir información de los distintos discos duros virtuales, por lo que separarlos aumenta el performance considerablemente.

En el caso de usar Hyper-V y tener instalado un Antivirus, cosa recomendable en cualquier sistema, es aconsejable excluir los ficheros de máquinas virtuales y los procesos VMMS.exe y VMWP.exe.

Otro truquito importante para los sistemas virtualizados Windows es deshabilitar PREFETCH.

Cada sistema, cada escenario, cada fabricante requiere de conocimientos y despliegues distintos, pero espero que te sirvan de ayuda estas recomendaciones generales en el mundo de la virtualización.

Como siempre, espero que os guste, gracias por leerme !!!!


lunes, 9 de febrero de 2015

Netwrix Auditor. Auditoría para File Servers. Parte 4.

Amigos de Inseguros !!!

Ya han pasado unos meses desde que comenzamos la serie de artículos sobre Netwrix Auditor 6.5.

Por los comentarios en las redes y foros al parecer es una herramienta que ha gustado a la comunidad.


A mi personalmente me gusta mucho y la uso en la organización en la que colaboro. Todas las noches recibimos unos correos con todos los cambios, y me permite controlar tanto los servidores Windows, Active Directory y unos servidores de ficheros.

En esta ocasión vamos a "trastear" con el módulo específico para servidores de ficheros.

Retomamos el primer artículo de la seria de Auditoría IT con Netwrix Auditor 6.5 para instalar el programa. Recuerda que podemos bajarnos un trial para 20 días completamente operativo.

Como es normal, el software analiza la información de registro sobre operaciones de ficheros que nos proporciona Windows, aumentando la capa de inteligencia con la configuración personalizada, reporting, alertas y demás opciones que ya hemos trabajado con Netwrix Auditor 6.5

Antes de configurar las opciones, vamos comprobar/Activar la auditoría de ficheros en nuestro servidor Windows 2012. Nos ubicamos en alguna carpeta compartida, y bajo propiedades, seguridad, avanzadas configuramos las opciones de auditoría para el grupo Todos.



Ahora que hemos definido el nivel de auditoría para nuestra carpeta concreta, tenemos que habilitar la Group Policy para que se efectúe el proceso de auditoría por parte de Windows. Recuerda que esto es común para todos los servers, independientemente del producto tipo Netwrix Auditor 6.5 que instalemos por encima.



Ahora desde el visor de eventos configuramos la política de retención y tamaño de los logs generados.


Como decía, hasta aquí, tenemos habilitado el servicio de auditoría de ficheros para nuestros servidores Windows, podemos comprobar como en el visor de eventos podemos observar los logs de acceso a los ficheros.


Imagina la problemática de cumplir unos requisitos de seguridad con este sistema, si en nuestro file-server tenemos millones de ficheros y usuarios haciendo operaciones a diario. Es aquí donde entra la parte de Netwrix Auditor 6.5 para ayudarnos a gestionar esta información.

Creamos un nuevo objeto gestionado del tipo colección de ordenadores e introducimos nuestro file-server.


En el caso de contar con una cabina NetApp o Emc, tenemos opciones especiales de integración. Para este caso voy a seleccionar mi servidor Windows, ya que la cabina que está por debajo mediante ISCSI no es ninguna de las mencionadas.


El propio asistente nos invita a seleccionar el grado de auditoría que queremos usar. Recuerda que podemos configurar distintos grados según el fichero, según el grado de "protección" que queremos implementar.


Una vez realizada la configuración, generamos una recolección de datos inicial, para ver la información que nos muestran los informes.

Si todo está bien configurado, el sistema nos presenta un informe con todos los cambios efectuados. En el caso de no haber configurado bien las opciones de auditoría de la carpeta, nos sugiere el nivel de detalle necesario, tanto para obtener toda la información, como para no saturar los eventos con información innecesaria.



Como puedes observar, nos presenta un resumen y un fichero de detalle. Muy útil para almacenar en nuestro sistema documental para investigar usos no deseados.

Si estás en un proceso de certificación PCI-DSS o similar, sin lugar a duda la posibilidad de hacer FIM, File Integrity Monitor será una de las características que deberás considerar para pasarla.

En entornos con varios administradores, en los que la gestión de los permisos la realizan distintas personas, es muy útil contar con una herramienta así para gestionar la correcta atribución de permisos a los recursos.

Desde el punto de vista de la seguridad, saber si algún empleado está intentando acceder a recursos no autorizados, es un punto fuerte para considerar la adquisición de este módulo.

Espero que os haya servidor de ayuda.

Gracias por leerme !!!





jueves, 5 de febrero de 2015

DHCP Logs & Backup. Sistemas Windows

Amigos de Inseguros !!!

Como hablábamos hace unos días en el post sobre el log del servidor Radius en Windows, el tener activado y controlada la gestión de los logs es vital para analizar en tiempo real, o en modo forense, la actividad de todos los componentes susceptibles a verse implicados en un ataque hacia nuestras infraestructuras.


Uno de los logs que me parece interesante es el log del serviio DHCP. Pude ser muy útil para detectar una intrusión física en la sede, un portátil que se conecta a un punto de red, o un cliente WiFi !!!

Lo primero que hacemos es habilitar el registro en Acciones-Propiedades.


La ruta del registro para DHCP es c:\windows\system32\dhcp\

Original eh !!!

Un ejemplo del fichero que podemos visualizar:


Cabe mencionar que el fichero de logs tiene un tamaño máximo de 1MB, y guarda uno de histórico.
Hay que controlar el tamaño del log con actividad normal, para calcular la frecuencia de copias que queremos establecer. Puede ser que el MB se llene en un día, o en un mes.

La información de campos relevante la podéis consultar aquí.

Y puestos a dejar esto bien configurado, podemos hacer una tarea con el siguiente comando para que nos haga un backup de la configuración del DHCP para evitar problemas, como yo que borrado 100 reservas dhcp :-).
Backup-DhcpServer -ComputerName host -Path C:\Windows\system32\dhcp\backup
Si vives en el mundo NETSH aún, aparte de animarte a actualizar, aquí tienes el comando:
netsh dhcp nombre export c:\ruta.txt all

Si quieres hacerlo automáticamente, sin tarea, puedes configurarlo en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters\BackupInterval

Espero que os guste el artículo y que os sirva de ayuda.
Gracias por leerme.

Recuerda que puedes buscar entre mis libros de hacking en español en en recopilatorio de libros sobre hacking