Laboratorio de detección – Parte 1: Crear un dominio

por Alberto Jódar
0 comentario 18 minutos lectura
Artículos de la serie
Laboratorio de detección
  1. Laboratorio de detección – Parte 1: Crear un dominio
  2. Laboratorio de detección – Parte 2: Unir máquina al dominio
  3. Laboratorio de detección – Parte 3: Qué es Sysmon

En esta serie de artículos vamos a crear un dominio para tener una infraestructura de detección. Si trabajáis en la detección, ya sea en un SOC, en equipos de respuesta ante incidentes… os recomiendo que montéis un laboratorio como este. Nos va a permitir probar ataques y qué es lo que vemos en las máquinas. Que puede faltarnos en nuestro SIEM, cómo recopilar más datos. Cómo afinar las reglas. Qué se ve y qué cambia en las máquinas cuando se produce el ataque…

Para la creación de la infraestructura de detección yo voy a usar el software de virtualización VirtualBox. Es gratuito.

Crear un Windows Server

Vamos a virtualizar un Windows Server 2022. Podéis usar versiones de evaluación o comprar la licencia. A poco que busquéis por Internet podéis encontrar plataforma de licencias para uso personal a buen precio. ISO y versiones de evaluación

Aspectos a tener en cuenta:

  • Configurar la máquina con al menos 2Gb de RAM
  • Configurar con un disco de al menos 50Gb
  • Instalar la versión con escritorio

Lo primero que nos va a pedir es una contraseña para el usuario administrador. Este será un usuario local del server hasta que creemos el dominio. No es demasiada importante la contraseña, ya que es un entorno de laboratorio. En caso de ser un entorno de producción, se deben tener en cuenta otras consideraciones que no son objeto de este artículo.

Cambio de hostname

El hostname de la máquina es importante. Este será nuestro domain controller (DC) del dominio y necesitamos un nombre que nos permita identificarlo.

Importante: El nombre que le hemos añadido a la instancia virtual no es el nombre que se asigna como hostname de la máquina. Hay que cambiarlo. Y hay que cambiarlo antes de empezar con la configuración del dominio si queremos que sea más sencillo.

Hay varias maneras. Pero lo vamos a hacer con PowerShell por simplicidad. Abrimos una terminal de PowerShell con permisos de administrador y ejecutamos:

Rename-Computer -NewName "DC01" -Restart 

Esto hará que el servidor se reinicie. Una vez iniciado de nuevo:

Crear una red

Para que todas las máquinas de este lab estén en la misma red, creamos una dentro de VirtualBox. La red que vamos a crear es de tipo NAT. Será una red interna donde todas las máquinas que unamos tendrán visibilidad entre sí, y nuestro host hará de gateway para que las máquinas salgan hacia Internet. Podéis ampliar más información sobre los tipos de redes que ofrece VirtualBox en la documentación oficial.

Abrimos el Network Manager con el atajo Ctrl+H o seleccionándolo a través del menú.

Seleccionamos la sección «NAT Networks·» y seleccionamos «Crear» para que nos añada una red de este tipo.

Una vez creada, la seleccionamos. Cuando la seleccionamos se nos abren automáticamente sus propiedades y podemos cambiarlas. Lo único que vamos a establecer de momento es el nombre, el rango de la subred y que se habilite el DHCP. Y una vez establecido, seleccionamos «Aplicar».

El rango que hemos seleccionado es «192.168.100.0/24«. Esto significa básicamente que las direcciones que podemos asignar dentro de la red van de la 192.168.100.0 a la 192.168.100.255. Aunque por el propio funcionamiento de la red ya hay algunas reservadas:

  • 192.168.100.0: No se puede asignar a equipos y sirve para identificar la red
  • 192.168.100.1: Las redes NAT de VirtualBox asignan la .1 al host para que haga de gateway
  • 192.168.100.2: Servidor DNS
  • 192.168.100.3: Servidor DHCP
  • 192.168.100.255: No se puede asignar a equipos y se usa para difusión dentro de la red

Ahora vamos a asignar al Windows Server a esta red. Seleccionamos la máquina virtual y nos vamos a su Configuración.

Vamos a la sección de Red y podemos establecer a la máquina hasta 4 adaptadores de red. Nosotros solo vamos a tener 1 conectado a la red que acabamos de crear. En la configuración del adaptador 1 seleccionamos la red que acabamos de crear.

Ya tenemos el servidor en la red. Ahora, cuando inicio, el DHCP le va a signar una dirección dentro del rango. Pero como esta máquina es nuestro DC, vamos a querer que tenga una IP fija. Vamos a configurarlo así.

Asignar IP estática al server

Para usar una dirección «redonda», dentro del rango de la subred, yo le voy a asignar al servidor la IP «192.168.100.100«.

Actualmente, la IP es dinámica y es el DHCP el que le asigna una IP cuando la máquina se enciende. Le asigna una IP dentro del rango de la subred. Si recordáis las que os comenté arriba que estaban reservadas, la .4 es la primera disponible del rango. Pues esta es la que le ha asignado.

Vamos a cambiarlo. Abrimos la configuración con el atajo «Win+I«. Y seleccionamos «Red e Internet«. Dentro de la sección «Estado» seleccionamos «Cambiar las opciones del adaptador«.

Seleccionamos las propiedades del único adaptador que debemos tener.

En la ventana de propiedades del adaptador, seleccionamos «Protocolo de Internet versión 4 (TCP/IPv4)» y haz clic en «Propiedades«.

Y aquí ya sí establecemos los valores estáticos para el adaptador.

No hace falta reiniciar. Ya tenemos la configuración aplicada.

Crear un dominio

Ya estamos listos para crear un dominio. No vamos a pararnos en detalle sobre conceptos de Active Directory. Básicamente, lo que debemos de saber es que parar crear el dominio necesitamos un servidor que haga de controlador de dominio. Así que vamos a promocionar el Windows Server 2022 a controlador de dominio (DC).

En el servidor disponemos de la herramienta «Administrador del servidor». Se suele abrir cuando iniciamos la máquina, y también la tenemos disponibles en las herramientas instaladas. Desde esta herramienta podemos añadir funcionalidades seleccionando «Administrar» y «Agregar roles y características».

En el asistente vamos avanzando y seleccionamos:

  • Instalación basada en características o en roles
  • Seleccionamos nuestro servidor DC01
  • Seleccionamos el rol que queremos instalar: «Servicios de dominio de Active Directory (AD DS)«

Una vez seleccionado el rol nos abre una ventana pero no tenemos que hacer nada, solo «agregar características». Y ya no debemos hacer nada más, solo seguir avanzando por el asistente dejado las opciones por defecto. En la ventana final seleccionamos «Instalar«.

Esto inicia un proceso de instalación del rol. No va a requerir que reiniciemos el servidor. Lo que si vamos a observar es lo siguiente. En el «Administrador del servidor» vamos a ver:

Como ya hemos instalado el rol, nos avisa de que podemos promover este servidor a controlador de dominio. Seleccionamos esta opción y se nos abre el asistente. Este nos va a permitir unir el servidor como DC a un dominio ya existente o crear uno nuevo. Nosotros estamos partiendo de cero, así que nos va a tocar Agregar a un nuevo bosque.

Yo he establecido el siguiente nombre de dominio: dfir.pills. Una vez seleccionado nos abre un nuevo asistente, el que nos va a ayudar con la creación del dominio. Vamos a ir avanzando por las diferentes ventanas, seleccionado:

  • No creamos delegación DNS
  • Nombre NetBIOS: Dejamos el que venga por defecto
  • En las rutas de la base de datos de AD DS dejamos las que se asignan por defecto
  • Finalizamos revisando las opciones e instalando

Comprobaciones

Ya tenemos el Windows Server 2022 como DC del dominio «dfir.pills«. Lo primero que vamos a notar es que nuestro usuario administrador ya no es un usuario local, sino que es un usuario en el dominio.

Podemos ver los datos del dominio con los siguientes comandos:

Get-ADDomain
Get-ADDomainController

Vemos que tenemos el dominio y que el DC01 hace las funciones principales del dominio. No vamos a entrar en detalle de qué hace cada una, ya que no es el foco de este artículo.

Y los datos principales del único DC que tenemos de momento en el dominio:

Servidores DNS

Cuando promocionamos el servidor a DC se cambian los DNS. Se establece la dirección local (127.0.0.1) como servidor DNS. Es necesario que de momento el DC haga las funciones de DNS para poder traducir los nombres de las máquinas dentro del dominio. Pero como podéis ver, el único DNS es el propio DC y por este motivo no tenemos salida a Internet, ya que no hay DNS que sepa traducir los dominios de Internet,

Volvemos por tanto a la configuración del adaptador como hemos visto en la sección Asignar IP estática al server. Y dejando la dirección local como DNS preferido, vamos a meter como DNS alternativo la «8.8.8.8«.

Ya si podemos salir hacia Internet y resolver nombres de dominio.

Conclusiones

Ya tenemos preparada la primera piedra de esta infraestructura. El Windows Server 2022 configurado y actuando como DC de un dominio que acabamos de crear, «dfir.pills».

En la siguiente entrada añadiremos máquinas al dominio.

¡Hasta la próxima!

Artículos relacionados

Deja un comentario

* Al utilizar este formulario usted acepta el almacenamiento y tratamiento de sus datos por parte de este sitio web.

Este sitio web utiliza cookies para mejorar su experiencia Aceptar Leer más