martes, 3 de diciembre de 2013

Windows Firewall Activación y Scripting.


Uno de los aspectos de la seguridad que suelo comentar con los colegas de profesión es la necesidad de saber que está pasando en nuestros sistemas. A menudo los administradores piensan que no hay ningún problema de seguridad, por una simple razón, no monitorizan nada. Esta técnica tiene la misma funcionalidad que tenía mi técnica cuando era joven con las reparaciones del coche. Si escuchaba algún ruido en el motor subía la radio...


Cuando hablamos de sistemas Microsoft tenemos un firewall integrado, que en las nuevas versiones, me permite bastante modularidad al más puro estilo Iptables. Podemos filtrar tráfico entrante y SALIENTE. A lo largo de mi carrera profesional he visto muy pocas veces el firewall de Windows bien configurado, por no decir que siempre lo suelo ver deshabilitado.

En el mejor de los casos, si eres un administrador de sistemas concienciado, intentarás trabajar con el firewall On. Bien, y ahora? Generalmente en las empresas nos pagan por trabajar, y parte de nuestro trabajo es monitorizar ese firewall instalado en los equipos.

Como todos sabéis, la mayoría de eventos del sistema se pueden revisar desde el cómodo Visor de Eventos. Tenemos registros de auditoría para inicios de sesión, registros de aplicaciones, incluso una rama para firewall. Bien, esta opción solo monitoriza los cambios en el firewall, cuando creamos reglas, cuando deshabilitamos pero no muestra el registro completo de peticiones aprobadas o denegadas.

En este episodio de Inseguros vamos a habilitar el registro completo del log del Firewall del un servidor Windows 2012.

Lo primero que haremos será habilitar el firewall y bloquear un puerto, en mi caso voy a bloquear el puerto 80 del servidor IIS. Comprobamos que no tenemos activada la opción de registrar paquetes descartados y correctos. Habilitamos este comportamiento para nuestro perfil de Firewall, ubicación del fichero, tamaño y listo !!.






Ya podemos ir al fichero de Logs y ver realmente qué esta pasando con nuestra regla de filtrado para el firewall.


Lo interesante de esto reside en poder automatizar la gestión de este log, enviando el fichero periódicamente a nuestro syslog o herramienta SIEM. Vamos a lanzar un comando que nos lea el fichero y nos muestre las ocurrencias que encuentre con la sentencia DROP TCP.

Select-String -Path "C:\Windows\System32\LogFiles\Firewall\pfirewall.log" -Pattern "drop tcp "


Podemos añadir una condición basada en regular expressión para filtrar los intentos a un determinado puerto.

Select-String -Path "C:\Windows\System32\LogFiles\Firewall\pfirewall.log" -pattern '(DROP TCP.*80)'

Sin duda recomiendo establecer alguna estrategia de supervisión del fichero de logs del firewall, incluido el tamaño y la política de conservación del fichero.

Como siempre, espero que os guste y gracias por leerme !!!.