Tema
Checklist Pre-Auditoría — Servidores de Compliance ControlCase
Fecha de validación: 2026-03-25 Validado por: Equipo de Infraestructura Fintrixs
🖥️ COLLECTOR VM (Ubuntu 24.04 LTS)
IP: 165.245.153.140 | Acceso: SSH (22) | Estado: ✅ Operativo
Infraestructura Base
| # | Check | Estado | Notas |
|---|---|---|---|
| 1 | VM activa y accesible | ✅ | Uptime 25+ días |
| 2 | Ubuntu 24.04.3 LTS | ✅ | Kernel 6.8.0-71-generic |
| 3 | 4 vCPU / 8 GB RAM | ✅ | Confirmado |
| 4 | Disco sistema 160 GB | ✅ | 4% uso (4.9G/154G) |
| 5 | Volumen datos 200 GB | ✅ | Montado en /mnt/fintrix_production_collector_data |
| 6 | IP estática (Reserved) | ✅ | 165.245.153.140 |
| 7 | VPC conectada | ✅ | 10.100.0.10 (eth1) |
| 8 | Cloud Firewall activo | ✅ | fintrix-production-collector-fw |
Seguridad y Hardening (PCI DSS)
| # | Control | Estado | Req PCI | Acción Requerida |
|---|---|---|---|---|
| 9 | AppArmor | ✅ Activo | 6.2 | 24 perfiles en enforce |
| 10 | Auto-updates | ✅ Activo | 6.3.3 | unattended-upgrades |
| 11 | TCP Syncookies | ✅ | 1.3 | net.ipv4.tcp_syncookies = 1 |
| 12 | IP Forward deshabilitado | ✅ | 1.3 | net.ipv4.ip_forward = 0 |
| 13 | Source Route rechazado | ✅ | 1.3 | accept_source_route = 0 |
| 14 | fail2ban | ✅ Activo | 8.3 | Ban 1h tras 3 intentos. 12 IPs baneadas en minutos |
| 15 | auditd | ✅ Activo | 10.2 | 29 reglas PCI (10.2.1–10.2.7) cargadas |
| 16 | ICMP Redirects | ✅ Bloqueado | 1.3 | accept_redirects=0, log_martians=1 |
| 17 | Password aging | ✅ 90 días | 8.3.9 | Expira 2026-06-23, warning 14 días |
| 18 | iptables local | ✅ DROP default | 1.2 | 16 reglas: SSH + syslog VPC + agentes VPC |
| 19 | SSH key auth | ✅ Key-only | 8.3.6 | Ed25519, password auth deshabilitado |
| 20 | NTP configurado | ✅ Activo | 10.4 | Google + Cloudflare time servers |
Software ControlCase
| # | Componente | Estado | Acción Requerida |
|---|---|---|---|
| 21 | ControlCase Collector Agent | ❌ No instalado | Instalar según guía de ControlCase |
| 22 | Rapid7 Insight Agent | ❌ No instalado | Instalar agente de escaneo |
| 23 | Syslog receiver configurado | ✅ Activo | rsyslog escuchando TCP:1514 / UDP:514 |
| 24 | Puertos de agente (5508,6608,8037) | ⏳ Firewall listo | iptables permite desde VPC, pendiente software |
🪟 VAPT VM (Windows Server 2022)
IP: 129.212.198.250 | Acceso: RDP (3389) | Rol: Escaneo de vulnerabilidades
Validación
| # | Check | Estado | Notas |
|---|---|---|---|
| 25 | VM activa y accesible por RDP | ✅ | Windows Server 2022 |
| 26 | IP estática (Reserved) | ✅ | 129.212.198.250 |
| 27 | Cloud Firewall activo | ✅ | fintrix-production-vapt-fw |
| 28 | Escaneo hacia CDE/App subnets | ✅ | Firewall permite TCP/UDP 1-65535 outbound |
| 29 | Windows Update activo | 🔍 Verificar por RDP | — |
| 30 | Windows Firewall configurado | 🔍 Verificar por RDP | — |
| 31 | ControlCase VAPT Agent | 🔍 Verificar por RDP | — |
| 32 | Antivirus/Defender activo | 🔍 Verificar por RDP | — |
🪟 CDD VM (Windows Server 2022)
IP: 129.212.199.48 | Acceso: RDP (3389) | Rol: Descubrimiento de datos de tarjetas
Validación
| # | Check | Estado | Notas |
|---|---|---|---|
| 33 | VM activa y accesible por RDP | ✅ | Windows Server 2022 |
| 34 | IP estática (Reserved) | ✅ | 129.212.199.48 |
| 35 | Cloud Firewall activo | ✅ | fintrix-production-cdd-fw |
| 36 | Discovery hacia red interna | ✅ | Firewall permite acceso a VPC |
| 37 | Windows Update activo | 🔍 Verificar por RDP | — |
| 38 | Windows Firewall configurado | 🔍 Verificar por RDP | — |
| 39 | ControlCase CDD Agent | 🔍 Verificar por RDP | — |
| 40 | Antivirus/Defender activo | 🔍 Verificar por RDP | — |
📊 Resumen
| Servidor | Infra Base | Hardening | Software ControlCase | Listo para auditoría |
|---|---|---|---|---|
| Collector | ✅ 8/8 | ✅ 12/12 | ⏳ 1/4 (rsyslog listo) | Casi — falta software ControlCase/Rapid7 |
| VAPT | ✅ 4/4 | 🔍 Pendiente RDP | 🔍 Pendiente RDP | Pendiente verificación |
| CDD | ✅ 4/4 | 🔍 Pendiente RDP | 🔍 Pendiente RDP | Pendiente verificación |
✅ Hardening completado (2026-03-25)
- ✅ SSH key Ed25519 + password auth deshabilitado
- ✅ fail2ban activo (12 IPs baneadas en minutos)
- ✅ auditd con 29 reglas PCI DSS (10.2.1–10.2.7)
- ✅ NTP configurado (Google + Cloudflare)
- ✅ Sysctl hardening (ICMP, anti-spoof, SYN flood, IPv6 off)
- ✅ Password aging 90 días
- ✅ iptables DROP default + whitelist
- ✅ rsyslog receptor TCP:1514 / UDP:514
- ✅ Banner de acceso autorizado
- ✅ APT repos migrados a HTTPS
⏳ Pendiente (requiere ControlCase)
- 📦 Instalar ControlCase Collector Agent
- 📦 Instalar Rapid7 Insight Agent
Estado general: El Collector tiene la infraestructura base correcta y hardening PCI DSS completado. Solo falta la instalación del software de ControlCase y Rapid7, que depende de las instrucciones del auditor.