Estamos migrando de sistemas de foros, por favor repórtanos cualquier problema a contacto@dragonjar.org, si te llega a tu bandeja de entrada o a spam un correo que te dice que se solicitó el cambio de contraseña, no te alarmes, es un procedimiento normal de la migración, cambia tu contraseña porque no hay compatibilidad en el sistema de cifrado del viejo sistema con el sistema nuevo, por eso debes resetear tu clave con ese enlace.

PFSense, Windows Server 2012 y DNS

editado 29 de marzo en Redes y conectividad

Hola a todos este es mi primer post en este foro; estoy tomando el diplomado de seguridad ofensiva y por lo tanto decidí construirme un modelo a escala de un entorno de producción simple pero en un ambiente controlado (con VirtualBox) para hacer pruebas de manera local.

En mi entorno cuento con:
* Un router/firewall pfsense.
* Un servidor principal Windows 2012 con ADDS, DNS, IIS y DHCP.
* Un servidor SMTP con Exchange 2013 (que esta unido al domino)
* 2 PC's clientes.
* Un Kali Linux.

Mi router/firewall tiene 3 interfaces de red una para los servidores, una para clientes y una para salida a Internet:
* WAN >>> DHCP (Adaptador puente)
* LANSERVERS >>> 192.168.9.254 (Red interna)
* LANUSERS >>> 192.168.1.254 (Red interna)

Mis servidores principales tiene la dirección IP ** 192.168.9.253** y el de correo la 192.168.9.251 ambos con interfaces de red interna proporcionados por VirtualBox y conectados al router/firewall pfsense en LANSERVERS que funciona como puerta de enlace. El servidor que presta el servicio de DHCP delega las direcciones de ámbito hacia los clientes en la donde se encuentra la interfaz LANUSERS, estos mismos (los clientes) tienen conexión a Internet gracias a las reglas que les tengo activado a su puerta de enlace.

Anteriorente al router/firewall pfsense le tenía configurado DNS Forwarder el cual apuntaba a los servidores DNS de Google, así mismo al servicio DNS en el servidor principal le tenia configurado un forwarder la cual era su puerta de enlace (192.168.9.254) y me resolvía bien tanto a los dos servidores como a los clientes. Por lo tanto las peticiones DNS iban así:

  • Petición de cliente: www.example.com >> servidor DNS >> router/firewall >> servidores DNS de Google.

El problema ocurre cuando yo quiero realizar un nslookup al dominio creado, un ping al servidor DNS o cuando quiero visitar la pagina web local que he levantado en el servidor IIS, todo desde el Kali Linux el cual se encuentra fuera de esa red interna que he creado.

Con lo cual tuve que cambiar la configuración en el router/firewall. Ahora tengo configurado DNS Forwarder el cual apunta al servidor DNS interno que he configurado y mi servidor DNS hace las consultas directamente hacia los root hints directamente ya que le quite el forwarder que apuntaba al pfsense mediante su puerta de enlace. Ahora las peticiones van asi:

  • Petición de cliente: www.dragonjar.org >> << router/firewall
  • Servidor DNS >> root hints

Ahora de manera manual le cambie la dirección IP de DNS al Kali Linux por la IP de la WAN del router/firewall.
Lo cual la tarjeta de mi Kali Linux queda configurado así:

  • IP eth0: 192.168.5.6 (DHCP)
  • Máscara de subred: 255.255.255.0
  • Puerta de enlace: 192.168.5.254
  • Servidor DNS principal (manual): 192.168.5.2 (Interfaz WAN del router/firewall asignado por DHCP)

Lo curioso es que si me resuelve cualquier dominio externo pero al hacer peticiones hacia el dominio interno no me lo resuelve.

La opción más fácil sería crear una interfaz interna al router/firewall pfsense virtual y conectar el Kali Linux pero eso es lo que no quiero, ya que mi modelo es a escala simulando una prueba de penetración de manera 100% externa.

**Qué debería de hacer o qué estoy haciendo mal? :# **

Les dejo con una imagen de la topología lógica de cómo esta mi modelo a escala.

Comentarios

  • @Kriegmann una duda con respecto a la configuración de las tarjetas de red, ¿en qué modo están?, este documento esta un poco viejito, pero todavía es útil https://www.dragonjar.org/manual-en-espanol-de-redes-con-virtualbox.xhtml y te puede servir.

  • @DragoN los modos están variados pero aquí se los pongo en lista de cómo están configurados.
    Mi router/firewall pfsense tiene 3 interfaces nombrados:

    WAN >> Adaptador puente o adaptador anfitrión, está es asignada por DHCP por el router casero.
    LANSERVERS >> Red interna, esta es la puerta de enlace para mis dos servidores internos. En el pfsense le tengo configurado un DHCP Relay para que las delegaciones de DHCP hechas por el servidor principal se redirijan hacia la red de LANUSERS.
    LANUSERS >> Red interna, esta es la puerta de enlace para de los clientes los cuales sus interfaces de red de cada cliente que instale sean configurados por DHCP por el servidor principal.

    Tanto mis dos servidores (principal y correo) están configurados con las interfaces de red interna de VB al igual que los clientes que están en otra subred.

    Yo tengo un Kali Linux con adaptador puente o adaptador anfitrión y mi objetivo es que el dominio interno que tengo configurado en mi servidor principal pase de ser interno de VB a ser local y que todos lo vean en mi red LAN, o sea que yo entrando en el Kali Linux pueda hacer consultas de nslookup o bien en el navegador poner www.mi-dominio.com y que se despliegue la pagina web que también tengo configurado en mi servidor principal. Todo esto estando fuera de la red virtual que tengo creado así como lo nuestro en la imagen. Obviamente la solución sería que cree un cuarto adaptador en el pfsense virtual para que conecte el Kali Linux pero ese no es mi objetivo si no simular un ataque externo pero dentro de una red local, por eso es que digo que es un modelo a escala.
  • @Kriegmann podrías animarte y hacer un artículo para el blog de DragonJAR

  • @Seifreed buen día, pues claro porsupuesto. Pero primero quiero que me ayuden con este caso que estoy planteando. Saludos.
  • editado 6 de abril

    @Kriegmann suena como si tuvieras un problema con el dns, por que según cuentas entre los equipos salen a internet pero no se ven entre ellos, en las opciones del pfsense intenta ponerles ip estáticas a cada maquina seria asi:

    en IPDELPFSENSE/services_dhcp.php y en donde dice "DHCP Static Mappings for this Interface" añades cada maquina con su mac y la ip asignada a mano, ahi incluso puedes poner los dns para cada maquina, puedes hacer prueba con los de google y los de opendns a ver si eso te resuelve el problema

Accede o Regístrate para comentar.