Presentacion sobre el desarrollo de un custom VPS (Servidor Virtual Privado gratuito) en los principales proveedores de servicio como Google, Amazon y Azure para disponer de un equipo con diferentes servicios y protocolos instalados desde 0, que nos ayudaran a proteger nuestra privacidad, asegurar la integridad de los datos así como disponer de un equipo accesible desde cualquier lugar para realizar pruebas de concepto puntuales.
A lo largo del taller se mostrarán los diferentes problemas que esta solución mitiga y se desarrollará la instalación de:
Creación de diversas cuentas en los principales proveedores.
Bastionado de la maquina VPS on Cloud
Instalación del servicio OpenVPN
Instalación del bloqueador DNS Pi Hole
Instalación servicio Owncloud (plataforma de almacenamiento privado de archivos)
Otras tools para investigación y pruebas de seguridad
Hack like a pro with custom VPS - Najava Negra 2019
1. Hack Like a Pro With Custom VPS!!
Alejandro Quesada Valdivieso
Javier García Antón
2. Hack Like a Pro With Custom VPS!!
Alejandro Quesada Valdivieso
Javier García Antón
3. De que va el taller
En el taller se abordará el desarrollo de un custom VPS (Servidor Virtual Privado
gratuito) en los principales proveedores de servicio como Google, Amazon y Azure para
disponer de un equipo con diferentes servicios y protocolos instalados desde 0, que
nos ayudaran a proteger nuestra privacidad, asegurar la integridad de los datos así
como disponer de un equipo accesible desde cualquier lugar para realizar pruebas de
concepto puntuales.
A lo largo del taller se mostrarán los diferentes problemas que esta solución mitiga y se
desarrollará la instalación de diferentes servicios.
4. Disclaimer
No nos hacemos cargo de malas practicas que hagáis en los entornos virtuales.
Cualquier trolleo, realízalo con moderación.
Si os pasáis de la rosca con el crédito gratuito, ya sabéis lo que toca:
5. Whoami
Alejandro Quesada Valdivieso
UMH: Ing Tec. Telco – Esp. Sist. Telco
Analista de hacking ético en Cipher
Certificaciones: CCNA, CCNP, ITIL,
OSWP, CEH, OSCP*
Entusiasta de las nuevas tecnologías
y el mundo de la seguridad.
Contacto:
https://www.linkedin.com/in/aquesada
v/
Telegram: @tankinus
Javier García Antón
UMH: Ing Tec. Telco – Esp. Sist. Telco
Analista de Seguridad en Global
Technology
Certificaciones: CCNA, CEH
Auditorias web y sistemas, con metod
ologías (OWASP, OSSTMM) en distint
os proyectos de seguridad nacional e
internacional
@mvp_java
6. 1
2
3
4
Bastionado de la maquina VPS on Cloud
5
6
Servicio OpenVPN
Bloqueador DNS Pi Hole
Servicio Owncloud
Otros usos
Creación de cuentas
Índice
Que necesitamos**0
10. 1
2
3
4
Bastionado de la maquina VPS on Cloud
5
6
Servicio OpenVPN
Bloqueador DNS Pi Hole
Servicio Owncloud
Otros usos
Creación de cuentas3 Servicio OpenVPNCreación de cuentas1
Índice
11. Creación de Cuentas
Que es un VPS?
Un servidor virtual privado (VPS, del
inglés virtual private server) es un
método de particionar un servidor físico
en varios servidores virtuales
(máquinas virtuales con tareas de
servidor) de tal forma que todo funcione
como si se estuviese ejecutando en una
única máquina. Cada servidor virtual es
capaz de funcionar bajo su propio siste
ma operativo y además cada servidor
puede ser reiniciado de forma
independiente. https://es.wikipedia.org/wiki/Servidor_virtual_privado
12. Creación de Cuentas
¿Como está el Mercado a día de hoy en la nube?
https://www.flexera.com/blog/cloud/2019/02/cloud-computing-trends-2019-state-of-the-cloud-survey/
13. Creación de Cuentas
Tipos de Cloud que utilizaremos
AWS
“FREE”
12 meses a la capa
gratuita Link
Cobro en caso de
superar los limites
Veterano y
experiencia
Azure
170€
12 meses
servicios gratuitos
Dinero canjeable
durante 30 dias
Gratis los
servicios basicos
No permite tarjeta
de debito
Ecosistema
Microsoft
GCP
300€
Acceso a todos los
productos
Sin cargos
automaticos
Ecosistema y
servicios de Google
https://www.paradigmadigital.com/dev/comparativa-servicios-cloud-aws-azure-gcp/
34. 1
2
3
4
Bastionado de la maquina VPS on Cloud
5
6
Servicio OpenVPN
Bloqueador DNS Pi Hole
Servicio Owncloud
Otros usos
Creación de cuentas
1 Creación de cuentas3 Servicio OpenVPNBastionado de la maquina VPS on Cloud
2
Índice
36. Bastionado de máquinas On Cloud
Ubuntu CIS
En Compute Engine -> Instacians de VM
Crear instancia
37. Bastionado de máquinas On Cloud
Ubuntu CIS
Cambiar disco de arranque Explorar el gritón de soluciones
38. Bastionado de máquinas On Cloud
Ubuntu CIS
Diferentes tipos de soluciones Realizamos búsqueda por CIS
39. Bastionado de máquinas On Cloud
Ubuntu CIS
De que se ocupa el CIS
Guia CIS Ubuntu
General Settings
Services settings
Network settings
Logging and Auditing settings
Access, Authentication and Authorization settings
System Maintenance settings
43. Bastionado de máquinas On Cloud
Ubuntu CIS
Desmarcamos la opción bloquear clav
e y añadimos nuestra clave y salvamo
s la configuracion
Si no tenemos aun clave la creamos
https://www.digitalocean.com/community/tu
torials/como-configurar-las-llaves-ssh-en-u
buntu-18-04-es
44. Bastionado de máquinas On Cloud
Ubuntu CIS
Desmarcamos la opción bloquear clav
e y añadimos nuestra clave y salvamo
s la configuracion
Si no tenemos aun clave la creamos
https://www.digitalocean.com/community/tu
torials/como-configurar-las-llaves-ssh-en-u
buntu-18-04-es
48. Bastionado de máquinas On Cloud
Ubuntu CIS
Comprobacián del hardening mediante Lynis
Clonamos y descargamos el repositorio
https://github.com/CISOfy/lynis
git clone https://github.com/CISOfy/lynis
cd lynis; ./lynis audit system
Ejecutamos el script
Resultado tras el test
49. Bastionado de máquinas On Cloud
Uso de scripts
https://github.com/Jsitech/JShielder
https://github.com/konstruktoid/hardening
https://fwhibbit.es/en/basic-security-configuration-for-a-vps
https://github.com/akcryptoguy/vps-harden
50. 1
2
4
Bastionado de la maquina VPS on Cloud
5
6
Bloqueador DNS Pi Hole
Servicio Owncloud
Otros usos
Creación de cuentas
3 Servicio OpenVPN3 Servicio OpenVPN
Índice
51. Instalación del servicio OpenVPN
Una VPN (Virtual Private Network), es una tecnología de red que permite una extensión segura de la red de área
local (LAN) sobre una red pública o no controlada como Internet.
Permite que la computadora en la red envíe y reciba datos sobre redes compartidas o públicas como si fuera una
red privada con toda la funcionalidad, seguridad y políticas de gestión de una red privada.
Esto se realiza estableciendo una conexión virtual punto a punto mediante el uso de conexiones dedicadas, cifrado
o la combinación de ambos métodos.
Qué es una VPN?
52. Instalación del servicio OpenVPN
IPsec (Internet Protocol Security): permite mejorar la seguridad a través
de algoritmos de cifrado robustos y un sistema de autentificación más
exhaustivo. IPsec posee dos métodos de encriptado, modo transporte y
modo túnel. Asimismo, soporta encriptado de 56 bit y 168 bit (triple DES)
Tipos de cifrado
PPTP/MPPE: tecnología desarrollada por un consorcio formado por
varias empresas. PPTP soporta varios protocolos VPN con cifrado de
40 bit y 128 bit utilizando el protocolo Microsoft Point to Point
Encryption (MPPE). PPTP por sí solo no cifra la información
L2TP/IPsec (L2TP sobre IPsec): tecnología capaz de proveer el
nivel de protección de IPsec sobre el protocolo de túnel L2TP.
Al igual que PPTP, L2TP no cifra la información por sí mismo.
53. Instalación del servicio OpenVPN
Para que sirven?
Que obtenemos:
• Seguridad
• Anonimato
• Evasión de bloqueos
• Bloqueo de malware
• Bloqueo de publicidad
54. Instalación del servicio OpenVPN
Para que sirven?
Que obtenemos:
• Seguridad
• Anonimato
• Evasión de bloqueos
• Bloqueo de malware
• Bloqueo de publicidad
Que debemos verificar:
• Protocolo de cifrado utilizado
• Verificar el anonimato (quizás nuestro
proveedor si que puede acceder a cierta
información de sus equipos en la misma
red privada. Mantiene registros)
• Protección frente a malware
55. Instalación del servicio OpenVPN
Latencia Leaks de información
Comparativa de VPNs
https://www.av-test.org/fileadmin/pdf/reports/AV-TEST_VPN_Comparative_Test_Report
_June_2018_EN.pdf
97. 4
1
2
3
Bastionado de la maquina VPS on Cloud
5
6
Servicio OpenVPN
Bloqueador DNS Pi Hole
Servicio Owncloud
Otros usos
Creación de cuentas
Bastionado de la maquina VPS on CloudCreación de cuentasBloqueador DNS Pi Hole
Índice
98. Instalación del servicio Pi Hole
Definición
Pi-hole es una aplicación para bloqueo de anuncios y rastreadores en Internet a nivel de red que
actúa como un sumidero de DNS (y opcionalmente como un servidor DHCP), destinado para su uso en
una red privada.
Está diseñado para su uso en dispositivos embebidos con capacidad de red, como el Raspberry Pi,
pero también se puede utilizar en otras máquinas que ejecuten distribuciones Linux e implementaciones
en la nube.
99. Instalación
Instalación del servicio Pi Hole
Descargamos y chutamos
wget https://git.... -o -o pi-hole-install.sh
$ sudo bash -o pi-hole-install.sh
104. Instalación del servicio Pi Hole
Instalación
Modificamos la configuración del server:
$ sudo nano /etc/openvpn/server/server.conf
105. Instalación del servicio Pi Hole
Instalación
Una vez instalado, activamos el forwarding de forma permanente descomentando la
línea net.ipv4.ip_forward=1 del fichero /etc/sysctl.conf
Para cargar los cambios sin reiniciar el servidor:
$ sysctl -p
117. Instalación del servicio Pi Hole
Listas de bloqueo
En /etc/cron.d/pihole hay configurado un cronjob que actualizará las listas cada semana
Para una actualización manual:
Introducir en la terminal el comando
$ pihole -g
Desde el panel de administración
Tools>Update Gravity - Update
118. Instalación del servicio Pi Hole
Listas de bloqueo
Añadir más filtros
https://github.com/StevenBlack/hosts
https://discourse.pihole.net/t/i-concatenated-every-blocklist-i-could-find/5184/13
https://wally3k.github.io/
https://github.com/pihole/pihole/wiki/Customising-sources-for-ad-lists
120. 1
2
3
4
Bastionado de la maquina VPS on Cloud
5
6
Servicio OpenVPN
Bloqueador DNS Pi Hole
Servicio Owncloud
Otros usos
Creación de cuentas
1 Creación de cuentas3 Servicio OpenVPNServicio Owncloud5
Índice
121. Instalación del servicio Owncloud
Que es Owncloud?
OwnCloud es un programa multiplataforma,
muy similar al popular DropBox, el cual al
instalarlo sincroniza los archivos que
queramos con la nube, a los cuales
también podremos acceder desde un
dispositivo móvil o cualquier ordenador
conectado a internet, donde podremos com
partir nuestros archivos públicamente con o
sin contraseñas, con lo que la seguridad y
privacidad esta asegurada.
130. Instalación del servicio Owncloud
Instalacion OwnCloud
Realizamos una mini securización MySQL:
sudo mysql_secure_installation
131. Instalación del servicio Owncloud
Instalacion OwnCloud
Creamos la base de datos :
sudo mysql -u root -p
CREATE DATABASE owncloud;
GRANT ALL ON owncloud.* to 'owncloud'@'localhost' IDENTIFIED BY '_tuPassWD_';
FLUSH PRIVILEGES;
quit
132. Instalación del servicio Owncloud
Instalacion OwnCloud
Descargamos y otorgamos permisos a Owncloud:
cd /tmp
wget https://download.owncloud.org/community/owncloud-10.2.0.tar.bz2
cd /var/www/html
sudo tar xjf /tmp/owncloud-10.2.0.tar.bz2
sudo chown -R www-data:www-data owncloud
sudo chmod -R 755 owncloud
sudo rm -f /tmp/owncloud-10.2.0.tar.bz2
133. Instalación del servicio Owncloud
Instalacion OwnCloud
Reiniciamos Apache:
sudo systemctl restart apache2
http://10.8.0.1/owncloud/
Accedemos a Owncloud
Creamos cuenta de admin
Introducimos los datos de DB
134. Instalación del servicio Owncloud
Instalacion OwnCloud
Ya tendríamos listo el servicio de Owncloud con solo acceder a la IP de la VPN
135. 1
2
3
4
Bastionado de la maquina VPS on Cloud
5
6
Servicio OpenVPN
Bloqueador DNS Pi Hole
Servicio Owncloud
Otros usos
Creación de cuentas
1 Creación de cuentas3 Servicio OpenVPNOtros usos6
Índice
140. Ataque/Reconocimiento automatic desde fuera
Otros Usos
iKAT – Interactive Kiosk Attack Tool
Para auditar un quiosco sólo hay que establecer una conexión al lugar donde se esté
ejecutándose iKAT. Una vez realizada la conexión, la herramienta identifica el sistema operativo
que está siendo usado en el quiosco, poniendo a nuestra disposición un menú con las distintas
categorías de técnicas disponibles para la auditoría.
http://ikat.ha.cked.net./