Que se puede Monitorear con BMC Patrol Agent

La mayoria de las ovaciones a lo largo ya de 4 años hay una pregunta en especifico que se repite con los clientes, ¿Que puedo, y ha que profundidad puedo monitorear Sistemas operativos, Ampliativos y base de datos con BMC Patrol Agent? tratando de ampliar una solución documental oficial adjunto la descripción de los parámetros por clases en los documentos de KM o módulos de conocimiento para la biblioteca de soluciones de monitoreo de BMC Software.

¿Que se puede monitorear con BMC Patrol Agent?

Con BMC Parol Agent podemos tener en monitoreo sistemas operativos Enterprise como;

• Servidores Windows
• Servidores Linux Red Hat
• Servidores aix
• Servidores hp-ux
• Servidores Solaris sparc

     ¿Qué tipo de bases de datos  puedo monitorear con BMC Patrol Agent?

• SQL Server
• DB2
• Oracle
• Oracle RAC
• Informix

     ¿Que aplicativos puedo Monitoreal con Patrol Agent?

• Websphere
• Active Directory
• Exchange
• Jboss

Con estos Reportes de descripción de parámetros el objetivo ideal es siempre tener un dominio claro del alcance de nuestra solución Patrol Agente aplicado a un KM en especifico y este KM es una buena practica crear una linea base de monitoreo. Sobre ella aplicar únicamente los parámetros que requerimos es decir si mi clase de aplicación es CPU y dentro de el existen 8 parámetros de los cuales el único de ellos que me aporta valor a la gestión de monitoreo es CPUutil el resto hay que eliminarlos de nuestra clase de aplicación ¿por que? imagina que por cada parámetro dejas activo 8 parámetros en total y aun servidor únicamente con requerimientos de monitoreo de  CPU + MEMERIA + DISCO + DISPONIBILIDAD = 32 parámetros default en monitoreo. este ejemplo tomando en cuenta que únicamente se dejaron activos las clases antes mencionadas, en la practica he visto clases de aplicación para un solo servidor con mas de 50 parámetros activos para solo 1 servidor....

La problemática acá es que si se usan estas malas practicas de no depurar sus parámetros dentro de las clases de aplicación y se trabaja en integración con otras aplicaciones de BMC Software como lo es ProactiveNet imaginen la carga que tendrá el Integration Service con tan mala administración en la capa numero uno de administración en ambientes de gestión de monitoreo que es nuestro Patrol Central y Patrol Configuration Manager.

Por ejemplo; cuando cargamos un KM el básico de OS nos despliega un agama de clases y parámetros enorme.

No es practico y es una mal a practica dejar la carga default de todas esas clases y parámetros que en ovaciones el administrador no sabe para que son o que métricas registran, lo mejor es un estudio de que es lo que se requiere, parámetros específicos. con ello poder crear una base de paramertros en PCM (Patrol Configuration Manager) y aplicarlo a un servidor en especifico.

Como se puede apreciar en la imagen la lista de parámetros y clases se depuro por que no se requieren mas para cumplir con un requerimiento de monitoreo de sistema operativo, previo a un estudio de que es lo que requerimos cubrír podemos dar respuesta con a ello de forma global en Patrol Configuration Manager.

en el siguiente post realizaremos un ejemplo de una linea base de monitoreo de CPU, Memoria y Disco para ambientes windows.

Como subir archivos de soporte de casos al FTP de BMC

En algunos incidentes el contar con  mayor información sobre un problema para poder analizar y tener el panorama competo de la problemática es crucial, es una muy mala practica generar un incidente en nivel 3,2, incluso 1 si no se tiene información completa de todo el ambiente en el gestor de problemas de BMC Soporte. en la gran mayoría de los casos aplica el subir información al FTP de BMC en cual explicaremos a detalle la ogistica para subir información con referencia a un caso.

¿Como es que realizamos esta actividad?

1.-  Nos conectamos al FTP de BMC226 Transfer complete.
C:\Users\oposada>ftp ftp.bmc.comConectado a ftp.bmc.com.
220-USE OF THIS COMPUTER SYSTEM IS MONITORED AT ALL TIMES TO ENSURE
ITS PROPER USE AND COMPLIANCE WITH BMC SOFTWARE POLICIES
This computer system is intended for the communication, transmissions,
processing and storage of BMC information with BMC customers and
other authorized third parties. Users of this system should be aware that
any information placed on this system is subject to monitoring by BMC.
Security measures have been implemented to restrict access to files
placed on this site.  Users requiring a higher level of data security should
consult with their BMC point of contact regarding encryption of files prior
to  posting them on this site. SVL
USE OF THIS COMPUTER SYSTEM AND FTP SITE CONSTITUTES CONSENT
TO MONITORING AT ALL TIMES.  ALL TRANSACTIONS ARE LOGGED.
By downloading from this site you acknowledge that you are responsible for comp
lying with the applicable laws and regulations of the United States
and all other relevant countries relating to exports and re-exports. You agree
that you will not download, license or otherwise export or re-export,
directly or indirectly, this software, any technical publications relating to t
his software or underlying information (collectively, .Technology.) in
violation of any such laws and regulations, or without any written governmental
authorization required by such applicable laws. The list of Restricted
Countries can and does change from time to time.  It currently includes Cuba, I
ran, North Korea, Sudan and Syria. In particular, but without limitation,
the Technology may not be downloaded, licensed or otherwise exported or re-expo
rted, directly or indirectly, (a) into a Restricted Country or to a national
or resident of a Restricted Country;  (b) to anyone on the U.S. Treasury Depart
ment's list of Specially Designated Nationals or other Blocked Persons,
the U.S. Commerce Department.s Denied Parties List,  Entity List, or  Unverifie
d List; or (c) to or for any proliferation-related (nuclear weapons, missile
technology or chemical/biological weapons) end use. By downloading, licensing a
nd/or using the Technology, you represent and warrant that (w) you are not
located in, under control of, acting on behalf of, or a national or resident of
any such country;  you are not on any such list; (y) you are not involved
in any such end use; and (z) no U.S. federal agency has suspended, revoked, or
denied your export privileges.  You agree that all rights to use the Technology
are granted on the condition that such rights are forfeited if you fail to comp
ly with these terms.
220 BMC FTP Server ReadyUsuario (ftp.bmc.com:(none)): anonymous
331 Anonymous login ok, send your complete email address as your password.
Contraseña:

El usuario para el FTP de Bmc es anonymous, la contraseña por lo regular siempre es el correo electrónico de la persona que genera el caso en el gestor de incidentes de BMC
230 Anonymous access granted, restrictions apply.
ftp> pwd
257 "/" is current directory.
ftp> dir
200 PORT command successful
150 Opening ASCII mode data connection for file list
drwxr-x--- 415 ftp      ftp         24576 Feb 24 23:56 bmc
drwxr-x---  11 ftp      ftp          4096 Jul 18  2012 cpost
-rw-r-----   1 ftp      ftp             0 Apr 11  2013 date
-rw-r-----   1 ftp      ftp            53 Feb  5 14:26 google15d1e0295780447c.ht
ml
drwxr-x--- 162 ftp      ftp         73728 Feb 26 13:26 incomingdrwxr-x--- 566 ftp      ftp        110592 Feb 26 13:10 outgoing
drwxr-x---  89 ftp      ftp          8192 Feb 25 19:29 premierincoming
drwxr-x---  99 ftp      ftp          4096 Feb 26 11:25 premieroutgoing
drwxr-x--- 1178 ftp      ftp         98304 Feb 25 09:33 pub
226 Transfer complete.
ftp: 602 bytes recibidos en 0,00segundos 602000,00a KB/s.

El directorio incoming es el directorio deafault que usa los ingenieros de Soporte de BMC para localizar los datos de los incidentes que atienden, por lo regular piden que se cree un directorio con el ID del caso que se atiende pala subir ahí la información a compartir con ellos en este caso se a creado el directorio ISS04239239 qu rehace referencia al ID del incidente que se esta atendiendo

ftp> cd incoming
250 CWD command successful
ftp> dir
200 PORT command successful
150 Opening ASCII mode data connection for file list
226 Transfer complete.
ftp> dir
200 PORT command successful
150 Opening ASCII mode data connection for file list
226 Transfer complete.
ftp> pwd
257 "/incoming" is current directory.
ftp> cd ISS04239239
250 CWD command successful
ftp> pwd
257 "/incoming/ISS04239239" is current directory.
ftp> dir
200 PORT command successful
150 Opening ASCII mode data connection for file list
226 Transfer complete.
ftp> binary200 Type set to I
ftp> send c:/Revisio´n DCV.rar
c:/Revisio´n: Archivo no encontrado
En este caso el nombre contiene asentos o caracteres especiales como “ò” y espacios en blanco, se recomienda NO usar asentuacion y espacios en los nombres de los archivos que se suben al FTP así mismo se recomienda colocar el archivo comprimido en la unidad C:/ de el equipo desde donde se esta accediendo al FTP para tener mejor localización y control del archivo comprimido a subir al FTP.
ftp> send c:/Revision_DCV.rar200 PORT command successful150 Opening BINARY mode data connection for Revision_DCV.rar


ftp: 12110343 bytes enviados en 544,80segundos 22,23a KB/s.ftp> pwd
257 "/incoming/ISS04239239" is current directory.
ftp> dir
200 PORT command successful
150 Opening ASCII mode data connection for file list
-rw-r-----   1 ftp      ftp      12110343 Feb 26 13:41 Revision_DCV.rar226 Transfer complete.
ftp: 73 bytes recibidos en 0,00segundos 73000,00a KB/s.
ftp> quit221 Goodbye.
----------
con ello se inicia a subir el archivo en la dirección antes mencionada, el tiempo de subida es según el ancho de banda de la compañía o la red, al termino por buena practica se toma una captura de pantalla como soporte de la actividad de upload y se envía como evidencia por correo al soporte de BMC indicando el archivo fue subido a la dirección /incoming/Nombre_del_ID_del_Caso en este caso se aplico como /incoming/ISS04239239
hay que tener en mente que colocándonos en los zapatos del personal de soporte técnico de BMC "No son adivinso y NO tienen idea de nuestros ambientes o configuraciones" por ende el darles información fundamente como;
- diagrama de la infraestructura impactada
- componentes de las cajas como bases de datos, versiones y Service Pack
- versiones de los aplicativos impactados o servicios
- LOGS!!!!!

es fundamental, las capturas de pantallas o vídeos ayudan mucho para entender la problemática, con estas sencillas recomendaciones verán que el trabajo en mancuerna con el personal de soporte de BMC será muchas mas amigable, rápido y proactivo.  

Como aplicar Blackout mediante Event Selector + Event Policy + TimeFrame en ProactiveNet

Hace unos días un cliente envió la duda de ¿cómo aplico un Blackout en BMC ProactiveNet ?

Iniciamos primero definiendo ¿que es un Blackout?, El Blackout mejor identificado como una ventana de mantenimiento en la cual se requiere que la Gestión de Monitoreo sea interrumpida, esto con la finalidad de modificar el ambiente en Gestión de Monitoreo sin tener alertas del mismo.

explico un escenario sin una solicitud de Blackout, Un administrador de sistema operativo UNIX realiza una actividad sin notificar a la administración de Gestión de Monitoreo, para mala suerte del administrador de sistemas UNIX su servidor esta con BMC Patrol Agent por lo que toda actividad en ese equipo se notifica, por ejemplo si el administrador de OS pasa un archivo grande a un FS el cual toca el umbral definido como Major (Warning) se envía un evento a BPPM el cual se notifica mediante una política de Gestión de Notificación, si el FS en cuestión toca el umbral de Critical se genera un segundo evento el cual notifica mediante correo electrónico y automáticamente genera un incidente mediante el IBRSD nativo entre el ARS y BPPM (esto si así está configurado el ambiente en las mejores prácticas de Gestión de Notificación y Gestión de Incidentes)  automáticamente todos los involucrados en mantener el servicio de ese servidor alterado sin previa notificación nuestro BPPM envía notificaciones a todos los responsables y genera un incidente por la actividad ya que es peligrosa por el nivel de criticidad, así mismo impacta en el servicio de negocio soportado en ese servidor por actividades no planeadas.

Ahora la mejor practica bajo los estándares de la librería de gestión de servicios de tecnología de la información dice “Todo cambio que impacte o degrade 1% de la disponibilidad total en la gestión de servicios de negocio tiene que ser validado y discutido en el CAB o si se requiere en el ECAB” siguiendo las mejores prácticas de ITIL  pensemos que la ventana de mantenimiento ya fue discutida en el CAB el cual todos las areas (OS, DB, Monitoreo, Servicios, Red y seguridad) dieron el visto bueno. Ahora nosotros responsables de la Gestión de Monitoreo realizamos las configuraciones adecuadas que aplican al requerimiento.

Requerimiento;

Programar un blackout global de todos los eventos Major y Critical de la infraestructura.

Programar un blackout de eventos de transacciones web.

Mejor practica;

La superioridad de los productos de BMC Software en comparación de el resto es superior tratándose de configuraciones adecuadas según las mejores prácticas de ITIL y del propio corporativo (clientes finales)

¿Por qué? En productos de BMC Software hay una guía de buenas prácticas las cuales es responsabilidad de los administradores de Gestión de Monitoreo validar y analizar esa guía de buenas prácticas de las soluciones para aplicarlas y usarlas según su gestión de servicios de negocios y crear sus propias buenas prácticas apoyándose de ITIL y la educación y experiencia en los productos de BMC Software Performance Manager. Con esa experiencia y conocimiento es que se puede crear una buena práctica en la gestión de servicios de negocio interna del cliente final.

En este Post expongo la que a mi experiencia pienso es la más adecuada y estándar en los distintos corporativos, cliente finales y ambientes.

Hay que tener en cuenta que en BMC ProactiveNet hay que tener niveles de configuración ordenados, concretos y eficientes para tener una correcta administración del ambiente.

A que me refiero con ello, por ejemplo no podemos reprochar al aplicativo que no alerta un evento crítico si NO hay un umbral definido como crítico, una política de notificación por correo electrónico que se alinee con el umbral definido como crítico, así mismo no se puede reprochar al producto no generar incidente en ARS si no hay las dos antes mencionadas y la configuración correcta del IBRSD y lo más importante la política de evento y la política de propagación en el BEM.

BMC ProactiveNet es una solución Proactiva como su nombré lo dice pero en más de 80% de los escenarios los administradores tiene errores de capa 8 cuando se correlacionar configuraciones para la gestión de notificaciones y gestión de eventos automáticos propagando por IBRSD en asía el ARS. 

Proyecto de Seguridad Informatica | Sexta parte y ultima parte, Community Enterprise Operating System

Community Enterprise Operating System

CentOS (Community ENTerprise Operating System) es una bifurcación a nivel binario de la distribución Linux Red Hat Enterprise Linux RHEL, compilado por voluntarios a partir del código fuente liberado por Red Hat.

Red Hat Enterprise Linux se compone de software libre y código abierto, pero se publica en formato binario digital (ISO) solamente a suscriptores pagados. Como es requerido, Red Hat libera todo el código fuente del producto de forma pública bajo los términos de la Licencia pública general de GNU y otras licencias. Los desarrolladores de CentOS usan ese código fuente para crear un producto final que es muy similar al Red Hat Enterprise Linux y está libremente disponible para ser bajado y usado por el público, pero no es mantenido ni asistido por Red Hat. Existen algunos Clones de Red Hat Enterprise Linux y CentOS es uno de ellos.

Instalación de CentOS Server

La instalación de CentOS como cualquier otro Linux es sumamente sencilla y no requiere mucha atención cuando se hace un ambiente desatendido, aun que es importante realizar validación cuando se hace para un ambiente distribuido por que la distribución de FS y de Inodes es muy importante para ambientes grandes o de gran cantidad de uso de datos, por ello para no realizar un documento con muchas hojas por las pantallas de la instalación no se colocara la instalación del sistema operativo.

Instalación de SSH en CentOS Linux

[root@UNID-L-SRV01 ssh]# yum -y install openssh-server openssh-clients

[root@UNID-L-SRV01 ssh]# chkconfig sshd on

[root@UNID-L-SRV01 ssh]# service sshd start

con ello ya tenemos nuestro servicio tanto para cliente como servidor de sesiones ssh

ahora vamos a validar que el puerto 22 (el puerto de comunicación y acceso de ssh) se encuentre listo.

[root@UNID-L-SRV01 ssh]#  netstat -tulpn | grep :22

Configuración de SSH accesos permitidos y restringidos

Ahora el siguiente paso es validar y configurar el Firewall de CentOS

[root@UNID-L-SRV01 ssh]# vi /etc/sysconfig/iptables

Con un respaldo previo del archivo iptable realizamos el siguiente cambio agregando la siguiente línea en el archivo

-A RH-Firewall-1-INPUT –M state –state NEW –m tcp –p tcp –dport 22 –j ACCEPT

Lo que le indicamos en esta línea es que será alcanzable el servicio de SSH por cualquier IP solicitando acceso al puerto 22

Restricción de acceso a IP mediante SSH

Si nuestra intención es restringir un segmento de red el cual no nos intereza que tenga acceso al servidor obviamente sin tener credenciales, colocamos una negación de servicios de SSH en el FW, esto lo realizamos agregando la siguiente línea en el archivo de configuración en la cual definimos que la ip 192.168.221.X no le mandara el banner de SSH ya que tiene restringido la respuesta del servicio esto significa que no podrá ni siquiera ver la opción de login estas IPs

-A RH-Firewall-1-INPUT -s 192.168.221.0/24 -m state --state NEW -p tcp --dport 22 -j ACCEPT

Reiniciamos los servicios para que tomen efecto las configuraciones

[root@UNID-L-SRV01 ssh]# service iptables restart

Negar el login como root

Si iniciamos una sesión ssh como root al equipo remoto por default esta permitido lo cual es una mala practica, la buena practica para cualquier sysadmin de Linux es negar el acceso a root ya que es peligroso asi que primero validaremos si root puede hacer login remotamente

unixpro:~ oposada$ ssh root@192.168.221.231

root@192.168.221.231's password:

[root@UNID-L-SRV01 ~]# hostname

UNID-L-SRV01.UNID.SI.MX

[root@UNID-L-SRV01 ~]# id

uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel) context=root:system_r:unconfined_t:SystemLow-SystemHigh

[root@UNID-L-SRV01 ~]#

el login esta permitido, ahora pasaremos a negar el acceso a root

modificamos el archivo (con su previo respaldo)

[root@UNID-L-SRV01 ~]# vi /etc/ssh/sshd_config

ahora buscamos la línea que indica que root tiene permitido el login y cambiamos el =YES por =NO

# Authentication:

#LoginGraceTime 2m

PermitRootLogin no

#StrictModes yes

reiniciamos el servicio de SSHD

[root@UNID-L-SRV01 ~]# service sshd restart

Validamos las configuraciones aplicadas

unixpro:~ oposada$ ssh root@192.168.221.231

root@192.168.221.231's password:

Permission denied, please try again.

root@192.168.221.231's password:

Permission denied, please try again.

root@192.168.221.231's password:

Permission denied (publickey,gssapi-with-mic,password).

unixpro:~ oposada$

la configuración es la adecuada y funciona a la perfección.

Es importante NO negar el acceso ssh a otro usuario ya que la manera adecuada de administrar un sistema Linux es iniciar sesión mediante ssh con un usuario no root para autoría y desde ese usuario realizar un su – para poder usar root si se cuenta con los permisos y credenciales, validaremos a continuación ese acceso, para ello en la terminal ejecutamos las siguientes líneas.

unixpro:~ oposada$ ssh oposada@192.168.221.231

oposada@192.168.221.231's password:

Last login: Sat Dec  7 18:20:24 2013 from 192.168.221.1

[oposada@UNID-L-SRV01 ~]$ hostname

UNID-L-SRV01.UNID.SI.MX

[oposada@UNID-L-SRV01 ~]$ su -

Password:

[root@UNID-L-SRV01 ~]# hostname

UNID-L-SRV01.UNID.SI.MX

[root@UNID-L-SRV01 ~]#

Usar Banner de bienvenida al iniciar sesión en servidor Linux

En el directorio  “/etc/ssh/” creamos el archivo banner.txt en el cual vamos a colocar nuestro banner

Al termino guardamos y editamos el archivo

[root@UNID-L-SRV01 ssh]# vi /etc/ssh/sshd_config

colocamos la centena que mandara llamar el banner

# no default banner path

#Banner /some/path

Banner /etc/ssh/banner.tx

Reiniciamos el servicio sshd

[root@UNID-L-SRV01 ~]# service sshd restart

Y validamos accediendo de nuevo que nuestro banner esta activado.

Connection to 192.168.221.231 closed.

unixpro:~ oposada$ ssh 192.168.221.231

############## USTED ESTA ACCEDIENDO A UNID-L-SRV01.UNID.SI.MX #################

                                                                 #####

                                                                #######

                   #                                            ##O#O##

  ######    ###                                    #VVVVV#

    ##             #                                          ##  VVV  ##

    ##         ###    ### ####   ###    ###  ##### #####     #          ##

    ##        #  ##    ###    ##  ##     ##    ##   ##      #            ##

    ##       #   ##    ##     ##  ##     ##      ###        #            ###

    ##          ###    ##     ##  ##     ##      ###       QQ#           ##Q

    ##       # ###     ##     ##  ##     ##     ## ##    QQQQQQ#       #QQQQQQ

    ##      ## ### #   ##     ##  ###   ###    ##   ##   QQQQQQQ#     #QQQQQQQ

  ############  ###   ####   ####   #### ### ##### #####   QQQQQ#######QQQQQ

### CUALQUIER ACCESO ES MONITOREADO Y ES NOTIFICADO AL GRUPO DE ADMINISTRADORES ##

oposada@192.168.221.231's password:

Last login: Sat Dec  7 19:02:48 2013 from 192.168.221.1

[oposada@UNID-L-SRV01 ~]$

Nuestro banner esta correctamente configurado y funcionando

Instalación & Configuración de VSFTP en CentOS Linux

[root@UNID-L-SRV01 ~]# yum install vsftpd

[root@UNID-L-SRV01 ~]# service vsftpd start

las variantes de comandos para validar los estatus, reinicios, inicios o detener el servicio son los siguientes.

service vsftpd stop

service vsftpd restart

service vsftpd status

Los archivos de configuración del servicio vsftp están ubicados en la dirección /etc/vsftpd/vsftpd.conf

Validamos si el vsftpd tiene soporte para SSL

[root@UNID-L-SRV01 ~]# ldd /usr/sbin/vsftpd | grep libssl

            libssl.so.6 => /lib64/libssl.so.6 (0x00002b1177dbe000)

Realizamos un respaldo de archivo de configuración para contar con un roll back de realizar configuraciones erróneas del servicio

[root@UNID-L-SRV01 ~]# cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak

Editamos el archivo de configuración

[root@UNID-L-SRV01 ~]#  vi /etc/vsftpd/vsftpd.conf

Y en la línea numero 12 validamos que el acceso para login de usuario anonymous se encuentre denegado

[root@UNID-L-SRV01 vsftpd]# service vsftpd restart

[root@UNID-L-SRV01 vsftpd]# service vsftpd status

vsftpd (pid 31864) is running...

reiniciamos los servicios y validamos que el proceso se encuentre corriendo correctamente

Ahora validamos que el usuario anonymous esta restringido al FTP login

unixpro:~ oposada$ ftp 192.168.221.231

Connected to 192.168.221.231.

220 (vsFTPd 2.0.5)

Name (192.168.221.231:oposada): anonymous

331 Please specify the password.

Password:

530 Login incorrect.

ftp: Login failed

ftp>

Validamos si por un navegador web podemos realizar petición de acceso al FTP

El servicio de FTP funciona correctamente y es seguro al solicitar credenciales de acceso esto mediante un navegador web, ahora realizaremos el mismo ejercicio pero desde una terminal.

unixpro:~ oposada$ ftp 192.168.221.231

Connected to 192.168.221.231.

220 (vsFTPd 2.0.5)

Name (192.168.221.231:oposada): oposada

331 Please specify the password.

Password:

230 Login successful.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> pwd

Remote directory: /home/oposada

ftp> ls -l

229 Entering Extended Passive Mode (|||43356|)

150 Here comes the directory listing.

Validación de servicio FTP de cliente Linux a Servidor CentOS

 

Se valida el acceso por ftp desde un cliente Ubuntu 13.10 el cual funciona correctamente.

Ahora validaremos el acceso al ftp desde un equipo Windows

Validación de Servicio de FTP de CentOS Server desde cliente Windows

 

 

El cual funciona correctamente solicitando credenciales de acceso previos al login

 Con ello se termina la sexta y ultima parte del proyecto de seguridad en servicios comunes de empresas como y alo notamos y validamos los servicios mas comunes en las compañias como lo son web, compartir archivos y escritorio remtoo o SSL en el caso de linux puden ser soportados en cualquier sistema operativo, no hay que casarnos con solo ventanitas o solo pinguinitos o solo manzanas, los sistemas son solo herramientas el uso de ellas es segun el maximo probecho del proyecto en el que estemos apoyando, siempre hay que penzar en seguridad, soporte y estabilidad asi como salvaguardar las leyes de seguridad informatica en cada proyecto (mismas expuestas y explicadas en los anteriores temas) en futuras ocaciones hablaremos de la seguridad de sistemas operativos y como realizar un adecuado Hardening a sistemas como windows server y Linux Red Hat Enterprise Edition, espero con lo poco que se de estos temas pueda ser de ayuda cuando tengan que realizar una infraestructura y no tengan ni idea de donde iniciar.

Proyecto de Seguridad Informatica | Quinta parte, Configuracion de RDP (protocolo de escritorio remoto de Windows) y resumen de las actividades

-->

llegamos a la 5ta pare de el proyecto de seguridad Informatica aplicando las mejores practicas para desarollar una infraestructura de servicios de negocio como servidor web con IIS en windows, Apache el CentOS Linux. entre otros servicios ya mencionados a lo largo de las ultimas 4to capitulos, ahora vamos a realizar la implementacion de servicios de forma segura como el tan usado RDP o protoolo de escritorio demoto de windows.

Servicio de Escritorio remoto (RDP)

En Windows 2012 server, por default no tiene conecciones mediante el protocolo RDP, remote desktop conection o conexión de escritorio remoto. Como en sus anteriores versiones este se instala como cualquier rol en Windows 2012, en los Linux es una buena practica NO tener conecciones mediante escritorio remoto mediante x11 para ello la contramedida es usar ssh ya que es una Shell segura, en Windows una forma segura de realizar el escritorio remoto es usando certificados como lo usamos para la web en SSL por certificado y en FTP, de igual manera usaremos el mismo certificado en del servidor UNID-IIS-01 para realizar el acceso remoto.

Validaciones de acceso remoto mediante RDP + certificado + permiso de Active directory en Windows server 2012

 

 

Como se muestra en la imagen 89 antes de realizar el intercambio de credenciales el servidor destino le solicita al cliente aceptar el certificado en el cual se firma la autenticación de la seguridad del ambiente y permite la conexión de ello,  es importante mencionar que este acceso esta aun reforzado mediante el grupo de permisos para escritorio remoto adjudicados en el grupo MASTER – UNID del active directory de no estar el usuario registrado en el active directory seria imposible formar un cliente al servidor de RDP. 

Validación de RDP en Linux

 

Por ultimo en la imagen 90 tenemos la validación de acceso mediante RDP de un cliente Linux Ubuntu 13.10 a un Windows server 2012 esto gracias a que Ubuntu esta firmado a Active Directory el usuario oposada es parte del grupo MASTER – UNID por ello tiene permisos ante el Active Directory para llegar al equipo UNID-ISS-01 el cual tiene un certificado de autenticación como segundo filtro de seguridad del ambiente, con este ultimo ejercicio cerramos el siclo de seguridad de servicios basados en ambiente Windows, espero les ayude en algo este recopilación y guía para aplicarlos en sus ambientes productivos. 

Resumen de ejercicio

Roles y servicios hay muchos para brindar a usuarios y/o clientes pero en cada uno de ellos se tiene como una buena practica separar cada servicio de cada servidor con el fin de no tener un impacto en un solo servidor y afectar a todos los servicios, con las buenas practicas mencionadas en las paginas anteriores tenernos lo conocimientos o la guía para realizar la implementación de un Windows server 2012 Enterprise edition de 64 bit con el cual podemos colocar servicios de infraestructura tecnológica Microsoft con el cual podemos soportar un servicio de Active directory con el cual gestionaremos los usuarios sus roles y los acceso, es importante mencionar que en este ejercicio todos los usuarios eran parte de un grupo llamado MASTER- unid como se menciono al inicio estos tenían libre acceso a los recursos compartidos de Windows mediante ftp así como navegación siempre y cuando se firmara el certificado de seguridad SSL en el equipo donde se solicita el acceso web esto con el fin de uno usar un protocolo de autenticación inseguro como lo es el http por puerto 80.

A manera de Plus, ahora vamos a conocer un poco de la distribución CentOS Linux, distribución de Linux con la cual podemos gestión y soportar todos los servicios antes mencionados pero de una forma de administración distinta que es a base de terminal y comando, así mismo de forma rápida gestionaremos como generar servicios de ssh, servicios de FTP y servicios web donde alojaremos y publicaremos nuestro servicio de ftp, todo esto en nuestraproxima ocacion.