Salta el contingut

Rúbrica PR5022 - VPN WireGuard i Hardening

Mòdul: 5022 - Enfortiment de Xarxes i Sistemes Pràctica: PR5022 Puntuació màxima: 10 punts

Criteris d'avaluació

Criteri Excel·lent (100%) Bé (75%) Suficient (50%) Insuficient (0%) Pes
1. Servidor WireGuard Servidor funcional, claus generades correctament, 2 clients configurats Servidor funcional, 1 client Servidor inicia però clients no es connecten No funciona 20%
2. Connexió client Client es connecta i accedeix a la xarxa interna (192.168.200.x) Client es connecta però no accedeix intern Connexió parcial No es connecta 20%
3. Hardening SSH 5+ mesures SSH aplicades, testejades i documentades 3-4 mesures 2 mesures 1 o cap 20%
4. Hardening kernel 6+ paràmetres sysctl correctes amb justificació 4-5 paràmetres 2-3 paràmetres 1 o cap 15%
5. Lynis Auditoria executada, 3 warnings analitzats i solucions proposades Auditoria executada, 2 warnings analitzats Auditoria executada però sense anàlisi No executada 15%
6. Captures de tràfic 2 captures comparades, diferència xifrat/desxifrat explicada 2 captures sense anàlisi comparativa 1 captura Cap captura 10%

Detall per criteri

Criteri 1: Servidor WireGuard (20%)

Indicador Punts
Claus del servidor generades 20%
Claus dels 2 clients generades 20%
Fitxer wg0.conf correcte (servidor) 30%
Servidor WireGuard iniciada la interfície wg0 30%

Criteri 2: Connexió client (20%)

Indicador Punts
Client es connecta (handshake establert) 40%
wg show mostra el peer amb latest handshake 20%
Ping a 10.100.0.1 (servidor VPN) exitós 20%
Accés a 192.168.200.10 (recurs intern) exitós 20%

Criteri 3: Hardening SSH (20%)

Indicador Punts
Port SSH canviat (no port 22) 15%
PermitRootLogin no 15%
PasswordAuthentication no 15%
MaxAuthTries ≤ 3 15%
ClientAliveInterval configurat 15%
Ciphers moderns configurats 25%

Criteri 4: Hardening kernel (15%)

Indicador Punts
rp_filter = 1 (anti-spoofing) 15%
accept_redirects = 0 15%
tcp_syncookies = 1 20%
randomize_va_space = 2 (ASLR) 20%
dmesg_restrict = 1 15%
kptr_restrict = 2 15%

Criteri 5: Lynis (15%)

Indicador Punts
Lynis executat i output guardat 25%
Hardening index documentat 25%
3 warnings identificats 25%
Solucions proposades per als warnings 25%

Criteri 6: Captures de tràfic (10%)

Indicador Punts
Captura de tràfic xifrat (UDP/51820) 25%
Captura de tràfic desxifrat (wg0) 25%
Comparació documentada 25%
Explicació de la importància del xifratge 25%

Criteris d'avaluació del currículum coberts

CA Descripció Evidència
CA4.5 Túnels segurs (VPN) Configuració i proves WireGuard
CA7.1 Eliminació de serveis innecessaris Hardening SSH
CA7.2 Hardening de processos sysctl kernel hardening
CA7.3 Seguretat SSH i administració remota Configuració SSH endurita
CA7.4 HIDS Lynis auditoria
CA3.2 Certificats digitals i SSH Claus WireGuard (Curve25519)

Notes per a l'avaluador

  • Claus privades: L'alumne NO ha d'incloure les claus privades a l'informe. Verificar que l'informe té les claus anonimitzades o substituïdes per <PRIVATE_KEY>
  • Lynis: L'índex de hardening espertat per a un sistema base Ubuntu és aproximadament 55-65. Després del hardening hauria de ser 70+
  • Captures Wireshark: Acceptar tcpdump com a alternativa a Wireshark