Enfortiment
PR5022
Rúbrica
Rúbrica PR5022 - VPN WireGuard i Hardening
Mòdul : 5022 - Enfortiment de Xarxes i Sistemes
Pràctica : PR5022
Puntuació màxima : 10 punts
Criteris d'avaluació
Criteri
Excel·lent (100%)
Bé (75%)
Suficient (50%)
Insuficient (0%)
Pes
1. Servidor WireGuard
Servidor funcional, claus generades correctament, 2 clients configurats
Servidor funcional, 1 client
Servidor inicia però clients no es connecten
No funciona
20%
2. Connexió client
Client es connecta i accedeix a la xarxa interna (192.168.200.x)
Client es connecta però no accedeix intern
Connexió parcial
No es connecta
20%
3. Hardening SSH
5+ mesures SSH aplicades, testejades i documentades
3-4 mesures
2 mesures
1 o cap
20%
4. Hardening kernel
6+ paràmetres sysctl correctes amb justificació
4-5 paràmetres
2-3 paràmetres
1 o cap
15%
5. Lynis
Auditoria executada, 3 warnings analitzats i solucions proposades
Auditoria executada, 2 warnings analitzats
Auditoria executada però sense anàlisi
No executada
15%
6. Captures de tràfic
2 captures comparades, diferència xifrat/desxifrat explicada
2 captures sense anàlisi comparativa
1 captura
Cap captura
10%
Detall per criteri
Criteri 1: Servidor WireGuard (20%)
Indicador
Punts
Claus del servidor generades
20%
Claus dels 2 clients generades
20%
Fitxer wg0.conf correcte (servidor)
30%
Servidor WireGuard iniciada la interfície wg0
30%
Criteri 2: Connexió client (20%)
Indicador
Punts
Client es connecta (handshake establert)
40%
wg show mostra el peer amb latest handshake
20%
Ping a 10.100.0.1 (servidor VPN) exitós
20%
Accés a 192.168.200.10 (recurs intern) exitós
20%
Criteri 3: Hardening SSH (20%)
Indicador
Punts
Port SSH canviat (no port 22)
15%
PermitRootLogin no
15%
PasswordAuthentication no
15%
MaxAuthTries ≤ 3
15%
ClientAliveInterval configurat
15%
Ciphers moderns configurats
25%
Criteri 4: Hardening kernel (15%)
Indicador
Punts
rp_filter = 1 (anti-spoofing)
15%
accept_redirects = 0
15%
tcp_syncookies = 1
20%
randomize_va_space = 2 (ASLR)
20%
dmesg_restrict = 1
15%
kptr_restrict = 2
15%
Criteri 5: Lynis (15%)
Indicador
Punts
Lynis executat i output guardat
25%
Hardening index documentat
25%
3 warnings identificats
25%
Solucions proposades per als warnings
25%
Criteri 6: Captures de tràfic (10%)
Indicador
Punts
Captura de tràfic xifrat (UDP/51820)
25%
Captura de tràfic desxifrat (wg0)
25%
Comparació documentada
25%
Explicació de la importància del xifratge
25%
Criteris d'avaluació del currículum coberts
CA
Descripció
Evidència
CA4.5
Túnels segurs (VPN)
Configuració i proves WireGuard
CA7.1
Eliminació de serveis innecessaris
Hardening SSH
CA7.2
Hardening de processos
sysctl kernel hardening
CA7.3
Seguretat SSH i administració remota
Configuració SSH endurita
CA7.4
HIDS
Lynis auditoria
CA3.2
Certificats digitals i SSH
Claus WireGuard (Curve25519)
Notes per a l'avaluador
Claus privades : L'alumne NO ha d'incloure les claus privades a l'informe. Verificar que l'informe té les claus anonimitzades o substituïdes per <PRIVATE_KEY>
Lynis : L'índex de hardening espertat per a un sistema base Ubuntu és aproximadament 55-65. Després del hardening hauria de ser 70+
Captures Wireshark : Acceptar tcpdump com a alternativa a Wireshark