viernes, 3 de julio de 2020

Reflexiones sobre el MVP

Estimados amigos de Inseguros !!!

Como lleva siendo habitual estos últimos 5 años, y no normal, porque para mi sigue siendo brutal la ilusión, me han concedido el honor de ser Microsoft MVP.

Cada vez que recibo el correo se me saltan las lágrimas. Al final es recibir un "bien hecho" de alguien que valoras mucho, como es para mi la comunidad entorno a Microsoft y sobre todo su labor. No hablo de vender productos o servicios, hablo de AYUDAR en hacer el mundo más seguro, contando lo poco que sé a los demás.



Muchos me preguntan todos los años sobre el premio, por eso me animo a contar estas cosas en público.

El premio Microsoft MVP no es un premio técnico por ser el number one, es un premio por contribuir de manera desinteresada al fomento de la tecnología que cada uno maneja.

Hay MVP con más conocimiento que otros, y bajo los ojos de la gente, hay gente que debería ser MVP y lo es, otros que no lo son, y otros muchos que no deberían serlo, pero siempre bajo el criterio "técnico" del conocimiento, pero insisto en que el premio no es al conocimiento, sino a la difusión del mismo.

Me gusta poner el ejemplo de Eduard Punset. No ganó nunca un Novel, no se cuantos ensayos, estudios, informes publicó a lo largo de su vida, pero como divulgador, lo hizo BRUTAL. Acercando al público generalista la ciencia de manera amena. Felix Rodriguez de la Fuente, Arguiñano, Chema Alonso... grandes profesionales que tu gusten más o menos, han hecho un INCREIBLE trabajo divulgativo y el MVP va de esto.

Conozco gente auténticamente CRACK en su terreno, en la ciberseguridad. Que trabajan en grandes proyectos con grandes clientes, y se merecen un premio por ello, por su excelente labor, pero eso no se llama MVP.

En mi caso creo que me suelen otorgar el premio por dos actividades principales, mis charlas y mis artículos.

Este último año he escrito cosas de las mías, relacionadas con productos o servicios de Microsoft más de 20 veces.

Más de 20 veces que he dedicado mucho tiempo a escribir, a hacer laboratorios o pruebas de concepto, a escribir, a revisar el texto, a publicarlo.

No quiere decir que mi contenido sea el mejor, sino que me he esforzado porque alguno de los que me leeis os informeis, aprendais, critiqueis o que dentro de 3 años aparezca en una búsqueda en Google.

Si quieres ser MVP de Microsoft, o cualquier de otros reconocimientos que existen (Vmware, Oracle, Google, etc) lo único que tienes que hacer es sentir pasión por lo que haces, y que te guste contribuir comunitariamente con ello.

No hay periodos, yo tuve en el 2000 mi primer kinomakino.tk y el premio MVP me lo dieron en 2015.

No hay caminos, esto es solo que tenemos la suerte que nos recompensan, pero quizás la vida no siempre sea todo lo justa que debería y puede que durante un tiempo no te recompensen, pero da igual !!! vuelvo al punto anterior, esto lo haces por pasión, no por reconocimiento.

Respecto al premio en si, conlleva una serie de ventajas como canales de comunicación más cercanos con grupos de noticias, desarrollo de productos, organización de actividades, y algunos premios más "tangibles" o materiales como subscripciones, descuentos en exámenes, licencias para probar productos y servicios como Azure, pegatinas y lo mejor de todo, poder ir a MVP Summit anual en Redmond para conocer de primera mano el futuro de Microsoft, y en parte, del mundo.

Espero que os haya gustado el post y animaros a que seáis los mejores del mundo en lo que hagáis, seais los MVP de todo, ya sea el trabajo, como padre/madre, como amigo, como cocinero o como deportista... al final la vida es el camino que hacemos, porque el fin sabemos cual es, por lo que te animo a que disfrutes del camino, y si es relacionado con el mundo Microsoft, ayudes como puedas porque quizás algún día te mande ese correo...

Gracias por leerme !!!!





martes, 23 de junio de 2020

Conexión de AD on-premise con Azure y bloqueo de palabras concretos en las claves de los usuarios

Estimados amigos de Inseguros!!!

En el artículo de hoy vamos a tratar algunos temas varios, relacionados entre sí, pero que creo que pueden ayudar a mucha audiencia de distintos tipos.

Vamos a comentar cómo implementar un servicio de Azure Active Directory para proporcionar single sing on de nuestros usuarios de Active Directory en Azure ( y sus servicios si queremos) ( y para los usuarios que queramos) y vamos a usar una función muy interesante para mejorar la seguridad de las contraseñas.


El servicio o función se denominada Password Protector y no es más que ampliar las funciones que vienen "de casa" en nuestros dominios con una protección para evitar que los usuarios usen ciertas palabras en sus contraseñas. Por ejemplo, que no usen el nombre de la empresa dentro del password...

Es muy interesante esta función ya que aparte de mejorar la seguridad de las contraseñas, tanto en la nube como en local, nos proporciona un registro puntual con eventos para seguir nuestras políticas de compliance de cualquiera de las mil que hay.

El proceso parte de un Active Directory sin ningún tipo de conexión con Azure, por lo que si ya tienes algún servicio tipo Microsoft  365 o similar, algunos pasos ya los tendrás.

En el portal de Azure tenemos que crear una nueva instancia de Active Directory para Azure, siguiendo varios sencillos pasos. Tienes que tener en cuenta los nombres y DNS, y entender que el dominio Active Directory en Azure puede o no ser el mismo que on-premise, es más puedes configurar todo tipo de granularidad. Por ejemplo, sincronizar en Azure solo cierto grupo de usuarios, por ejemplo, el departamento IT, para que acceda a los recursos de la nube con el Single Sign On.




Descargamos el AD Connect y procedemos a hacer la magia. Vamos a usar la opción por defecto para no entrar en esta materia que está ampliamente documentada.

Es importante crear un usuario en el AD local para la sincronización del directorio. No permite usar el usuario administrador ni se debe. El propio asistente te indica la posibilidad de ingresar uno o que crear uno, si previamente le introducimos un usuario administrador con capacidad para eso, para administrar el AD local.


Ahora es el turno del objetivo principal del post, configurar la seguridad para las contraseñas. Accedemos al portal de AD en Azure y entramos en la sección seguridad.


Accedemos a administrador, mecanismos de autenticación, protección con contraseña.***nota mental, necesitas E3 para esto o Azure Active Directory Premium 1***

Es muy forzar a que se use la lista y acometer la misma.


Ahora vamos a configurarlo para nuestro entorno local, on premise. Comenzamos descargando el agente e iniciando el proceso de instalación.



El proceso es automágico y después de un reinicio, podemos ejecutar el módulo Powershell que instala para saber si todo ha ido bien: Import-Module AzureADPasswordProtection

Ahora que tenemos el agente instalado y el proxy que se conectará a Azure, hacemos eso, conectarlo:

Register-AzureADPasswordProtectionProxy -AccountUpn 'hjkhjkh@9080.com'

El siguiente paso es registrar el bosque que queremos sincronizar: 

Register-AzureADPasswordProtectionForest -AccountUpn '0'09'90'@onmicrosoft.com'

Una vez seteado todo, vamos a hacer una prueba, vamos a realizar un cambio de contraseña a un usuario que contenga alguna de las palabras y ver qué ocurre.


Efectivamente aparece un preciado registro para nuestro SOC.

Espero que os sirva de ayuda para animaros a probar cosas de este tipo.

Gracias por leerme !!!

miércoles, 10 de junio de 2020

Detectar y esconder Sysmon


Estimados amigos de Inseguros !!!

De todos es sabido que Sysmon es una pieza fundamental para la monitorización de los sistemas Microsoft, pero es una pieza muy importante que debemos defender ya que los atacantes lo saben, y lo primero que harán será detectar el uso de la herramienta, para saber si pueden hacer más o menos ruido.


Una de las primeras cosas en un ataque o auditoria es evaluar las medidas defensivas del cliente/objetivo. Si tiene servicios defensivos complejos deberás ser más caúto y sobre todo lento en los reconocimientos y explotación de activos que si es un equipo que huele a siguiente, siguiente, siguiente. 

Lo primero que debemos saber es que por defecto si no renombramos el fichero de instalación de sysmon, se instalará en una rama tanto el binario como un driver con unos nombres predecibles, sysmon y sysmondrv. 

Si un atacante busca procesos corriendo, servicio o rama de registros relacionada con Sysmon detectaría el uso.

Tenemos la opción de cambiar el nombre del instalador e indicar el nombre del driver así:

carbonblack( o el nombre que quieras).exe -i -d carbonblack


Aparte de este pequeño hack, tenemos que ser consciente de que el driver se instala con un identificador o altitude único, un identificador que usa Microsoft para imponer un orden a la hora de ejecutar drivers en la pila de almacenamiento. Siempre es el mismo 385201. 

Podemos listarlo con el siguiente comando:

C:\Windows\system32>fltmc

Nombre de filtro                     Núm. instancias    Altitud    Trama
------------------------------  -------------  ------------  -----
DfsDriver                               0       405000         0
SysmonDrv                               5       385201         0
vsepflt                                 5       328200         0
WdFilter                                5       328010         0

Con este comando también podríamos deshabilitarlo...

Por lo tanto, si sabemos cambiarle el nombre en la instalación y sabemos cambiar el número de altitude...


Poco más que decir. Otras herramientas usan altitude conocido como procmon que siempre usa 385200...

En fin, espero que te guste la idea de usar sysmon, si ataques ya sabes como buscarlo, si defiendes como esconderlo... y así hasta el infinito.

Espero que os guste !!!

miércoles, 3 de junio de 2020

Reglas básicas de seguridad para Microsoft 365: lucha contra el timo del CEO

Estimados amigos de Inseguros !!!

Seguro que si hablamos del timo del Ceo conoces algún caso más o menos cercano de alguna organización que ha sucumbido a él.

Quizás no por ese nombre, pero el concepto está muy claro. Te envían un correo de una cuenta de algún proveedor o parecida... diciendo que cambies un número de cuenta para hacer un pago... algo similar.


Vamos a realizar un par de ajustes en nuestro Exchange Online para minimizar el impacto o posibilidades de que ocurra.

En primer lugar vamos a crear un flujo de correo sencillo, vamos a alertar a nuestros usuarios cuando llega un correo de otra organización. Esto parece una tontería, pero muchas veces los usuarios se relajan cuando ven un dominio "parecido"al nuestro.

Imagina las posibilidades que te da esto, pero poco a poco.

Ahora vamos a crear otra regla en la que identificamos una o varias palabras sospechosas en el correo, por ejemplo la palabra factura, y vamos a hacer dos cosas, anteponer un asunto que ponga PELIGRO y un mensaje antes del correo que indique que es sospechoso.



Si seguiste el último post sobre conectar por Powershell Microsoft 365, podrás conectarte al Exchange online con Connect-ExchangeOnline  para poder realizar cosas como listar las reglas:


Pero la gracia está en como decíamos en el artículo anterior, usar Powershell para administrar de manera masiva distintos Tenant. Para ellos vamos a exportar el conjunto de reglas, para luego poder importarlas, almacenarlas, etc.  $file = Export-TransportRuleCollection; Set-Content -Path "C:\reglas_empresa_x.xml" -Value $file.FileData -Encoding Byte

El resultado es sencillo:

<?xml version="1.0" encoding="UTF-16" standalone="true"?>

-<rules name="TransportVersioned">


-<rule name="TImo del ceo" format="cmdlet" id="a6963b64-ca84-4bbd-b96b-6dd995c748c8">


-<version requiredMinVersion="15.0.3.0">


-<commandBlock>

-<![CDATA[New-TransportRule -Name 'TImo del ceo' -Comments '
' -Mode Enforce -SubjectOrBodyContainsWords 'factura' -PrependSubject '[PELIGRO].      ' -SetAuditSeverity 'Medium' -ApplyHtmlDisclaimerLocation Prepend -ApplyHtmlDisclaimerFallbackAction Wrap -ApplyHtmlDisclaimerText 'CUIDADO CON ESTE CORREO, tiene elementos que lo hacen sospechoso, en concreto habla de una factura.']]>
</commandBlock>

</version>

</rule>


-<rule name="correo de fuera de la empresa" format="cmdlet" id="b7c84d9f-f74a-4b8d-9bd3-9168fa5e3b74">


-<version requiredMinVersion="15.0.3.0">


-<commandBlock>

-<![CDATA[New-TransportRule -Name 'correo de fuera de la empresa' -Comments '
' -Mode Enforce -FromScope NotInOrganization -SetAuditSeverity 'Medium' -ApplyHtmlDisclaimerLocation Append -ApplyHtmlDisclaimerFallbackAction Wrap -ApplyHtmlDisclaimerText '<<ATENCIÓN, este correo viene de una fuente externa, no olvide las directrices de seguridad de la compañía>>']]>
</commandBlock>

</version>

</rule>

</rules>

La manera de importarlas sería insultantemente sencilla como para documentarlo :-).

Ahora vamos con otro truco. Vamos a jugar con los arrays de valores en Powershell y vamos a crear una regla que por ejemplo, no deje enviar correos a gente de fuera de la organización, con ciertas palabras. Esto se podría usar de muchas maneras, por ejemplo, para detectar fugas de información con ciertas palabras... vamos a ello.


El uso que le des es infinito, por ejemplo, puedes crear una lista de remitentes seguros para el departamento de compras/pagos, en el que previamente se den de alta. Si alguno de los correos que te piden cambios o envían facturas o similar, sin que esté autorizado, puede dar un error... al final la tecnología está al uso de los procesos de la empresa y cada una es un mundo.

Espero que te sirva de ayuda este mini artículo con algunas ideas para fortificar tu Microsoft 365.

Gracias por leerme !!!

martes, 2 de junio de 2020

Intro a Powershell y administración de O365 Security Center and Compliance

Estimados amigos de Inseguros !!!

En el post de hoy me atrevo a contaros algunos pequeños trucos, consejos o breve guía para que os inicieis en el lenguaje Powershell, orientándolo un poco a la ciber, por no hacer el "hola mundo", y que de paso te sirva en tu día día.

Como sabes Powershell no es un lenguaje de programación como tal, es una interfaz de administración por consola, como viene siendo CMD o Bash, pero con funciones más avanzadas. Una respuesta de Microsoft a las exigencias de la comunidad de tener un lenguaje potente de administración para tareas complejas, pudiendo realizar operaciones para grandes cargas de trabajo, entornos complejos y sobre todo automatización.

Para intentar aportar algo de valor, vamos a hablar del Microsoft 365 ( Office 365) SCC Security Center & Compliance, como su nombre indica, el centro en donde administramos la configuración de seguridad de nuestro entorno o tenant ( inquilino).



Los motivos son muchos, pero cada uno tiene que valorar si necesita realmente utilizar la consola o los clicks. En mi caso, y dada la vertiente de administración de varias empresas, me es útil realizar los cambios mediante scripting, para poder repetirlos en mis distintas empresas o clientes.  Usar este código minimiza el impacto de un administrador que puede cometer un fallo y hacer un click donde o como no deba, por ejemplo borracho como una cuba :-)

Seguimos con lo básico. Los comandos Powershell, los CMDlet, se componen de 4 partes:

VERBO: Por ejemplo Get, List, Set, Add, etc
NOMBRE: Date, content, label, etc.
PARAMETROS: -Credential, - Path, -Force, etc
MODIFICADORES: –_Recurse,-Force. _

Otra de las cuestiones básicas de PowerShell es la canalización o Piping, lo que viene siendo "enviar" el resultado de un comando como dato de entrada del siguiente. Ejemplo: 
Get-Content -Path C:\listado_ordenadores.txt | Test-Connection 

Ahora que hemos visto lo más básico, vamos con la parte del Microsoft 365 SCC. Para poder conectarnos al entorno Powershell necesitamos el módulo de Azure Active Directory y el módulo de administración de Exchange Online.

En mi caso una vez instalado, en mi entorno con MFA:

Connect-IPPSSession -UserPrincipalName larala@comasd.com


Una vez "sesionados" podemos comprobar que todo ha ido bien con alguno de los comandos relativos a la sesión.



Vamos a listar las directivas de alertas de nuestro tenant con Get-ProtectionAlert.


Al final hay cientos de CMDlets y lo mejor es tirar de la referencia oficial para mostrar los que puedes necesitar, aunque hay algunos trucos para buscar en la consola...

PS C:\Users\Administrador > gcm -Name *alert*

CommandType     Name                                               Version    Source
-----------     ----                                               -------    ------
Alias           Get-ASRAlertSetting                                2.9.0      Az.RecoveryServices
Alias           Get-ASRAlertSetting                                0.2.4      AzureRM.RecoveryServices.SiteRecovery
Alias           Set-ASRAlertSetting                                2.9.0      Az.RecoveryServices

Gracias por leerme !!!

viernes, 29 de mayo de 2020

Cómo gestiono todo lo que leo con Teamworks gratis !!!

Estimados amigos de Inseguros !!!

En el post de hoy os voy a contar algún truco que uso para mantenerme al día e informado, y ordenar todas esas ideas, proyectos, pruebas y demás bondades que me rondan por la cabeza.

Vamos a poner un ejemplo muy normal, como pueda ser el de levantarse... ir al baño... y agotar el tiempo de vida de no perder la pierna ( me suelo levantar cuando ya se me duerme xD) mirando las redes sociales.

Por mi edad, por mi estilo de vida o lo que sea, mis redes sociales personales me consumen 5 minutos al día, y las profesionales muchos, muchos minutos. En ese momento entre la cama y la ducha, esos momentos de reflexión me sirven para actualizar mi timeline y ver que han escrito generalmente los amigos del otro lado del charco, pero bueno, esto no trasciende mucho...


El asunto es que constantemente estoy mirando las redes y sobre todo encontrado información útil, que si una noticia, que si un procedimiento de algo de hacking, una guía de fortificación de no se qué, un video de una CON con algo que me interesa... al final, el input de información que tenemos es BRUTAL y sin embargo el tiempo que tenemos para poder desarrollar esas informaciones es mínimo.

Quizás esté esperando una cita 5 minutos y durante ese tiempo guarde o apunte 27 cosas para hacer cuando pueda... el típico "pendiente de organizar" o "por hacer" o como quieras llamar a ese cajón desastre.

Es muy importante ordenar todo esto, porque al cabo de mi vida profesional, llega una reunión y aparece un requisito, una funcionalidad o problema, y no me vale recordar que una vez cagando leí en Twitter que no se que... :-)

Si tienes accesible dicha información de una manera más o menos clasificada, te permite tener ese conocimiento " a un golpe de click", y saber que tienes ese recurso, es casi igual de poderoso que conocerlo, porque la diferencia puede ser invertir la media hora o las 2 semanas de estudiarlo, pero teniendo la materia, es cuestión de dedicarle tiempo...

Para esto con el paso de los años he desarrollado varias estrategias, y al final, llevo un tiempo usando Teamwork y la carga por correo.

Para el que no lo conozco, Teamwork es un gestor de proyectos muy útil, que uso de manera personal y gratuita, para gestionar mi proyecto principal, que es vivir xDDD

No me basta con un buen calendario con todos mis calendarios, personales, de una empresa, de otra... necesito poder añadir ficheros, url´s, capacidades de búsqueda, etc.

En ese Teamwork voy teniendo tareas principales y subtareas. Una de ellas se llama Estudio.

En esa tarea configuro una dirección de correo para poder cargar la información vía e-mail...



Ahora solo tengo que enviarme correos con la cuenta de origen vinculada a Teamworks y se irá creando esa tarea. Si en el asunto por ejemplo pongo #loquesea se marca esa categoria o etiqueta, por lo que puedo buscar en el portal mediante #loquesea y saldrán todas las tareas de esa categoría.

Para mi es muy cómodo, porque la fuente de información puede ser un correo, un Tweet, una publicación de Linkedin, una URL o vete tu a saber...

lunes, 18 de mayo de 2020

File Integrity Monitor en Windows con Powershell. Controla los cambios.

Estimados amigos de Inseguros !!!

Hoy vamos a desarrollar ese concepto tan habitual en muchos compliance y normativas y tan poco extendido en los desarrollos de las empresas. La monitorización de integridad de ficheros o FIM.

Ya estuvimos hablando de esto hace años, relacionado con el mundo OSSIM y el cliente OSSEC.

Se trata de monitorizar el cambio de un fichero o ficheros mediante comprobaciones a su HASH.

Imagino que lo sabes, pero HASH es una función matemática que identifica inequívocamente a un elemento, dando la característica de que no puede haber distintos elementos con un mismo HASH ***salvo errores en la función matemática o colisiones*** .


El post de hoy es sencillo, pillas una carpeta con ficheros y carpetas, le haces el HASH, le pasas un hash y lo guardas en un fichero. Cada media hora, cada hora o cada 30 días le vuelves a pasar el procedimiento de cálculo de hashes, y ves las diferencias...

Pues vamos allá...

dir -Path C:\Datos -File -Recurse |
Get-FileHash -Algorithm MD5 |
Export-Csv -Path C:\Temp\Output.csv 


El resultado del fichero sería este:

MD5,"6948C3AC0509326A39798586E5E5561F","C:\Data\origen.txt"
MD5,"D41D8CD98F00B204E9800998ECF8427E","C:\Data\Output.csv"
MD5,"D41D8CD98F00B204E9800998ECF8427E","C:\Data\asdasdasd\dfgdsfgdsfg.txt"

Me da un CSV con el tipo de función hash, el hash, y el fichero...

Ahora voy a cambiar el contenido de dfgdsfgdsfg.txt y a volver a ejecutar la sentencia:

MD5,"4C5352D6D02EFBC3527A8376676E51FC","C:\Data\asdasdasd\dfgdsfgdsfg.txt"

El hash del fichero ha cambiado.

Ahora vamos a usar este maravilloso script del SANS de un curso muy bueno de Powershell del señor Jason Fossen que me va a comparar los dos ficheros...


Como puedes ver, me indica que el fichero tal ha cambiado...

Esto si lo parametrizamos en un "cron" y tiramos una alerta en caso de que aparezcan cambios, nos podría servir para crearnos un sistema FIM bastante decente.

Si quieres más detalles del proceso, puedes leer el artículo original que me ha servido de base para las pruebas aquí.

Espero que lo uses y gracias por leerme !!!

martes, 21 de abril de 2020

Grandes empresas, centros de atención al usuario y procedimientos inoperativos...


Estimados amigos de Inseguros !!!

En el post de hoy voy a hablar de algo un poco fuera de lo común, algo referente a la tecnología, o quizás no, pero desde el punto de vista de humano.

Algo que TODOS sufrimos, pero que parece que como humanidad hemos admitido vivir con ello. Me refiero a los Call Center y el trato que dan muchas grandes compañías al usuario.

Esta semana llevo varias, y me he decidido a comentar aquí un poco las jugadas.

No voy a contar el nombre exacto, porque aunque si bien me gustaría que ardieran en el infierno ellos y varias generaciones genealógicas por arriba y por debajo, entiendo que es algo que no es puntual.. sino todo lo contrario, generalizado...



Empresa de transportes, de las top 5 en España. Aunque insisto, me suele pasa con casi todas. Paquete para el jueves. Tracking para el jueves. Llega el jueves, y lo primero que hago es peinarme y ponerme guapo para el repartidor... me meto en el tracking...estamos actualizando resultados...consulte más tarde... Pasa la mañana, el mensaje igual, pasa la tarde, el mensaje igual... La colonia que me había puesto para oler bien, empieza a oler a ácido sulfúrico de mis repetidas invocaciones al diablo...

Contacto por una red social con el servicio, y claro, en público son super amables, les pagan para eso. si fuera osos serían osos amorosos, si fueran felinos, serían gatitos. Pero en privado. NI UNA PALABRA, no saben que pasa.

Hay palabras en el vocabulario de muchas personas que no cabe, como pueda ser "gracias" o "perdone".

Muchas veces, o casi siempre, entendemos que hay flujos de trabajo, que estamos en una situación rara, pero si yo pregunto por un paquete, y el tipo o tipa me dice: perdone, tenemos mucho retraso debida a la cantidad de servicios, si es tan amable, mañana recibirá su pedido. NOOOOO, NOOOOO ponerse en el lado del otro ? decir la palabra perdona? NOOOOOOO Mejor no contestar, otras veces te ponen que no estabas en casa, y otras, según plataforma, que "hay una incidencia".

Misma semana, otro día, otro paquete. Llega una caja grande lleno de paquetes, abierta... como soy tonto, la admito, y falta un paquete pequeño. LLamo, gestiono, investigo, consigo teléfonos... me dicen que sí, que estaba abierto, pero que no es cosa del repartidor ni de Murcia...



Esa empresa tiene sedes en toda España, incluso franquicias imagino, que cohones le importa al del teléfono que yo llame para decir que me falta un paquete?¿ NO le importa una mierda !!! lo comprendo, pero dime perdona, dime : perdona, se ha debido extraviar en la cadena desde Madrid, vamos a hacer lo posible balblaab mientras tanto, reclame a origen. NOOOOOO, te dicen que si tienes problemas que llames a donde hiciste la compra !!! que tu no eres el cliente !!!

Tema banco. Periplo. Hago un ingreso en el cajero de mi cuenta, no solo no me deja hacerlo, sino que se queda un billete.

Llamo, me indican, llamo, me indican mal, llamo, me quejo, llamo, espero, llamo. Una semana larga, y la historia es que no es "cosa" del banco, es de la empresa que lleva los cajeros... Ni un perdona, ni nada de nada. Le comento si este mes puedo pagar la hipoteca 15 días más tarde... como ellos van a tardar en devolverme el dinero... nada, ni detecta la ironía. No me vendió un seguro de milagro :-)

Misma semana, empresa que vende ADSL. necesito algo técnico, muy puntual: abrir un puerto GRE para una VPN PPTP: LA MUNDIAL. La persona que te atiende no sabe, pero se cree que sí !!! es su trabajo, está todo el día ayudando a la gente, a personajes de todo tipo, pero no da el brazo al torcer.

Se lo comentaba a mi mujer, y es como si estuviera diciéndole que tengo un problema para llamar, y me dijera que tengo que pulsar las teclas, y yo le dijera que no tengo teclas, así hasta cabrearme, quedarme sin llamar, y la otra persona no saber que mi teléfono es de rueda de los de antes... Algo parecido...

Todos sufrimos estas cosas, mensajería, comida a domicilio, incidencias con banca, eléctricas, seguros, cualquier empresa nacional/internacional que tenga estos CAU adolece de este problema.

Ahora están de moda los chatbots, las inteligencias artificiales, un montón de cosas, pero que suman para que la empresa prestadora se ahorra dinero, no para que sea más eficiente, ni aumente el grado de satisfacción con el cliente, que va !!! es solo para ellos.

Lo de las empresas de telefonía es de escándalo, y no ha cambiado NADA. En 10 o 15 años no ha cambiado nada, lo único, que los sistemas funcionan mejor y cada vez hay que llamar menos para incidencias, pero cuando las tienes, sigue siendo frustrante, crispante, improductivo la mayoría de las veces.

Asumimos que con la globalización que las empresas se deshumanizan, hasta el punto del trato con el cliente. A quién le preocupa algo de Murcia, de una empresa de Madrid, o al revés, por teléfono...

Seguro que si eres una pyme o autónomo coincides conmigo que el trato que se debe dar al cliente es extremadamente cuidadoso. Tienes que hacer malabares para gestionar los imprevistos con una sonrisa de tu cliente, y estas megacorporaciones invierten en RSC de mentira, para la prensa.

Deberíamos aceptar que esto es así? Imagina cuando cada vez compremos menos en presencial, que pasará, y mas online. Cuando hablo de esto con ciertos amigos me dicen que soy un exagerado, claro, si compras un paquete al mes online, no te percatas de todo esto, pero si compras y gestionas paquetes a diario, la tasa de errores crece MUUUUUCHO.

Más allá de desquitarme y comentaros la anecdota, hacer esa reflexión de la PESIMA calidad de servicio de los Call Center y servicios de reclamaciones. Viva el corporativismo !!!

Tu Windows 10 es un servidor VPN !!!

Estimados amigos de Inseguros !!!

En estos días de confinamiento, mucho se habla del teletrabajo y de las conexiones remotas, las VPN, etc.

Todo el mundo anda como loco buscando la "receta mágica" para realizar el teletrabajo de manera sencilla.

Si estás detrás de una compañía media, tendrás todo el soporte de informática para realizarlo, pero si trabajas o das soporte a una pequeña empresa o profesional, quizás no tenga mucho sentido comprar ciertos aparatos o soluciones.

En el mini tutorial de hoy vamos a ver una pequeña función nativa de los Windows 10 que es un servidor de VPN. Para que te conectes a tu equipo casero, despacho o lo que sea sin necesidad de montar grandes pollos.

Esto es una de la cosas que me gusta de Microsoft, sus funciones "electrodoméstico", 3 clicks y a invertir el tiempo en otras cosas, como pelearte con tu ISP para que vaya el puerto...




Con esto y un bizcocho, hasta mañanas a las ocho !!! xDDD

martes, 14 de abril de 2020

Hyper convergencia Windows: Windows Admin Center... y adiós a credential dump...

Estimado amigos de Inseguros !!!

Hoy vamos a hablar de un término que está muy de moda, la hyper convergencia, pero me lo voy a llevar a mi terrano particular.

El concepto "puro" de hyper convergencia radica en aglutinar todos los elementos de los sistemas en una sola unidad, desde el almacenamiento virtualizado, la red definida por software o SDN, procesamiento, memoria incluso contingencias como backup cloud y DSR de todo tipo.



Mi amigo Rafa Cartagena me habla mucho de la monitorización multicloud, con soluciones que te permiten gestionar desde un mismo panel todas las nubes... imagina el asunto, gestionarlo TODO en un mismo aplicativo.

La hyper convergencia viene respaldada por soluciones de tipo hardware en las que compras un BOX en el que mediante software se realizan todas las tareas habituales de un CPD, bajo un entorno de gestión unificado.


Yo sueño con un escenario completamente distinto, pero a fecha de hoy no es posible. Hubo una época con los primeros "grid" de Oracle, creo que 10, en el que se creía que todo el procesamiento iba a ser distribuido.. .nada...

Imaginar un "bus universal" de recursos en el que conectemos los 4gb del móvil, los nosecuantos de la tv, los noseque de la "play", la cpu de la tablet, del smartwatch... al final si pudiéramos aunar toda la capacidad de procesamiento de estas máquinas será aprovechamiento 100%.

De momento no creo que lo veamos muy a corto *Hola patentes xD * pero con la tener un entorno unificado de trabajo para nuestras administraciones me basta.

Hasta que el rollo, ahora vamos con el post.

Windows Admin Center, sencillo de instalar en entornos habituales, es una herramienta que mediante WINRM nos permite administrar de forma gráfica nuestros servidores.


Microsoft afirma que el el desarrollo de las herramientas GUI de administración irán bajo esta plataforma, y viendo su potencia, es recomiendo familiarizarse pronto con ella.

¿Qué podemos monitorizar con esta herramienta? Prácticamente todo.


Es importante contar con que si quieres monitorizar windows cliente tienes que instalar las herramientas de administración remota, con versiones server no. Solucionar temas de firewall... lo de siempre.

Para añadir equipos al management, es tan sencillo como click click click.


Como decía, qué monitorizar? mejor verlo en imágenes:



Es casí como Guideline de administración de servidores ya que tenemos las pistas de los servicios, y con unos clicks podemos configurar procedimientos que de otra manera serían un poco más costosos, o tal vez, ni conocíamos. Por ejemplo, vamos a desarrollar las típicas copias de seguridad del DC.



Otro recurso muy interesante es la sincronización de ficheros en la nube, una copia de seguridad digamos "activa" en la que usar los datos de manera descentralizada.


Como "buena" solución de hyper convergencia, tenemos que tener la posibilidad de administrar nuestra nube favorita... pués si, conectamos nuestra subscripción y tenemos disponibles todos los recursos de Azure.


Otra de las virtudes que presenta en la propia conexión con el RDP del equipo. Si bien la herramienta está hecha para no tener que realizar dicha acción, nos ofrece una manera sencilla de realizarlo desde el dashboard.



Me ha gustado mucho el detalle de la consola de administración de usuarios y equipos, te presentan las 4 funcines del día a día, y en concreto, cuando reseteas la contraseña de un usuario te genera una clave random segura, y establece que sea el usuario el que inicie la contraseña que quiera en el primer inicio, una buena opción para evitar dar siempre la misma clave "temporal" hasta que se cambia...



Pero como es normal, seguro que te preguntas sobre hardware, o sobre otros aplicativos no Microsoft. Correcto. El admin center contiene un módulo de extensiones para que terceros puedan ampliar las capacidades de administración. Algunos de los módulos disponibles son:


Poco a poco esperemos que los fabricantes se animan a integrar sus consolas. 

Pero esto no es todo...

Hemos dicho que podemos añadir máquinas de nuestra nube Azure...


Sino que podemos integrar nuestro panel con Azure Security Center para ver las recomendaciones de seguridad de nuestro entorno...


Pero lo bueno es que bidireccionalmente, en nuestro Security Center de Azure se agregan los datos de monitorización de los servidores que tenemos monitorizados On-Premise en Admin Center, es decir, nos ahorramos instalar el agente manualmente.


Y para los más freaks, tenemos la posibilidad de ver todas las órdenes del "dashboard" o del frontal, en formato Powershell, por si queremos replicar la consulta/comando manualmente en otros sistemas no administrados.



Como es evidente, el usar un tipo de solución así mejora mucho la seguridad ya que impides el tener a administradores usando el servidor con RDP, usando navegador para bajar driver... ya tu sabes...

Pero SOBRE TODO, ampliamos el concepto de BASTIÓN que ya comentamos aquí hace días... en el que usamos un equipo para administrarlos a todos, un equipo muy securizado.

Os pongo el ejemplo de Mimikatz.


Como todos sabéis, en los sistemas Microsoft el login se puede producir de dos maneras, interactiva o de red. Cuando es interactiva, cuando te sientas "delante" como por ejemplo RDP, las credenciales se almacenan en el LSASS( .exe) para poder hacer hacer el "single sing on" de Active directory, tu una vez que estás en un RDP puede ir a cualquier equipo.

Sin embargo, cuando tu entras por red, a un barra barra, "muestras" al equipo que sabes la clave, pero esta no se almacena en el equipo destino.

Mediante Mimikatz un atacante puede sacar tus claves de la memoria LSASS, teniendo las claves de todos los usuarios que se hayan conectado. Por eso NO HAY QUE USAR usuarios privilegiados por RDP en todos los servidores.

Después de esta "iniciación a la seguridad" de Active Directory :-)  ... comprenderás que el servicio de administración remota, o WinRm que usa Windows Admin center usa autenticación keberos como no interactiva, por lo que podemos administrar nuestros servers sin el temor de que un atacante adquiera las claves del equipo administrador.

En la imágen muestro las claves de un usuario entrando por RDP mientras que no salen las del usuario que empleo desde el Admin center.

Me parece muy interesante este producto y tiene mucho más recorrido.

Otro día probaremos a montar un servicio de hyperconvergencia real con Hyperv y SDN y almacenamiento virtualizado también.

Gracias por leerme !!!


Related Posts Plugin for WordPress, Blogger...