martes, 12 de noviembre de 2013

Eventos Windows 2012


El PowerShell nos da muchas herramientas potentes con las que llegar a cierta información de una manera más rápida y acotada, aquí explicare como consultar los eventos acontecidos de una manera rápida.

Yo tengo la constumbre de poner el comando "eventvwr" para acceder al visor de eventos, se que hay muchas otras manera de llegar.


Si ejecutamos un PowerShell, con el comando "Get-Eventlog" nos preguntara que Log queremos consultar (Application, Security, System, etc ...).




Así nos saldrá todo lo que tenga almacenado, esto no es demasiado útil a no ser que lo queramos guardar para tratarlo.



Una manera sencilla de guardarlo sería:



Otra manera de hacerlo sería mediante el comando "Get-Eventlog security - newest 10" con lo que le decimos que no enseñe los 10 registros más recientes.



También podemos hacer que se ordene por la columna que nos interese:



GoN

lunes, 11 de noviembre de 2013

ACL entre hosts




Un ACL básica más que puede servir de patrón para hacer otras. Este sería la típico configuración entre dos PC o más.




Tenemos un servidor en una red al que solo queremos que pueda llegar a un PC.




Queremos que un PC (110.1.110.55) puedan llegar al servidor (110.1.115.10) de una red aislada, pero que el servidor no pueda acceder a ellos.

Configuramos la Vlan

interface Vlan 115
 description RED_SEGURA
 ip address 110.11.115.1 255.255.255.0


Configuramos la ACL para que solo pueda llagar un PC (110.1.110.55) al servidor (110.1.115.10 y el servidor solo pueda ver un PC

ip access-list extended Permit_RED_SEGURA_entrada
 remark PC_con_acceso_RED_SEGURA
 permit icmp host 110.1.110.55 host 110.1.115.10
 permit ip host 110.11.110.55 host 110.1.115.10
 permit tcp host 110.11.110.55 host 110.1.115.10
 permit udp host 110.11.110.55 host 110.1.115.10
 deny   ip any any
!

Modificamos la configuración de la Vlan

interface Vlan 115
 description RED_SEGURA
 ip address 110.1.115.1 255.255.255.0
 ip access-group Permit_RED_SEGURA_entrada out



Vamos un poco más, ahora queremos que 2 PCs (110.1.110.55 y 110.1.111.73) puedan llegar al servidor (110.1.115.10, pero el servidor solo pueda llegar a uno de ellos:


La flechas indican la dirección de los permisos.



Añadimos una ACL nueva con las IP de los 2 PC que tendrán permiso para llegar al servidor


ip access-list extended Permit_RED_SEGURA_salida
 remark PC1_con_acceso_RED_SEGURA
 permit icmp host 110.1.115.10 host 110.1.111.73
 permit ip host 110.1.115.10 host 110.1.111.73
 permit tcp host 110.1.115.10 host 110.1.111.73
 permit udp host 110.1.115.10 host 110.1.111.73
 remark PC2_con_acceso_RED_SEGURA
 permit icmp host 110.1.115.10 host 110.1.110.55
 permit ip host 110.1.115.10 host 110.1.110.55
 permit tcp host 110.1.115.10 host 110.1.110.55
 permit udp host 110.1.115.10 host 110.1.110.55
 deny   ip any any


Modificamos la configuración de VLAN 115

interface Vlan 115
 description RED_SEGURA
 ip address 110.1.115.1 255.255.255.0
 ip access-group Permit_RED_SEGURA_entrada out
 ip access-group Permit_RED_SEGURA_salida in

Ya lo tenemos, con este patrón podemos añadir más PC para que lleguen al servidor, si que este pueda acceder a ellos.

Es importante configurar la Vlan a nivel 2 por cada Switch por el que deba comunicarse nuestro hosts contra el que tengamos de gateway de Vlans (nuestra puerta de enlace).




Gon