Ejemplos de GNUPG

Algunos de los comandos con su respectiva explicacion:

# gpg --gen-key -->Crea una llave publica y privada.

# gpg --list-key -->Lista claves publicas

# gpg -K -->Lista llaves privadas

# gpg --export -o [archivo_clave] -->Exporta clave y con "-o" crea un archivo donde se guardara "archivo_clave"

# gpg --export -o archivo_clave -a -->Hace la misma funsion anterior pero con "-a" exporta el archivo en formato ascii para que sea mas ordenado.

# gpg --import "/home/sena/new_llave.gpg" -->Importa llaves.

Pasos para firmar la llave de un compañero.
Primero descargamos la llave publica del compañero si esta en un servidor de llaves publicas como http://wwwkeys.pgp.net , o la obtenemos directamente por usb,correo, etc...
Esto lo podemos hacer con copiar, pegar (clic derecho) en un archivo. Si vamos a descargar varias llaves lo mejor es que le pongamos el nombre de cada persona para que sea mas facil distinguirlas.

Una vez descargada la llave hacemos lo siguiente:

# gpg --import clave_amigo.txt
gpg: clave 195216A5: clave pública "Mi amigo imaginario (amigo) " importada
gpg: Cantidad total procesada: 1
gpg: importadas: 1
gpg: 3 dudosa(s) necesarias, 1 completa(s) necesarias,
modelo de confianza PGP
gpg: nivel: 0 validez: 1 firmada: 1 confianza: 0-, 0q, 0n, 0m, 0f, 1u
gpg: nivel: 1 validez: 1 firmada: 0 confianza: 1-, 0q, 0n, 0m, 0f, 0u
gpg: siguiente comprobación de base de datos de confianza el: 2008-05-14

Firmamos la llave y la volvemos confiable para que quede en nuestro circulo de seguridad osea nuestros contactos confiables.
# gpg --sign-key 195216A5

pub 1024D/195216A5 creado: 2007-08-23 [caduca: 2008-08-22] uso: SC
confianza: desconocido validez: desconocido
sub 2048g/10B3BC6D creado: 2007-08-23 [caduca: 2008-08-22] uso: E
desconocido (1). Mi amigo imaginario (amigo)


pub 1024D/195216A5 creado: 2007-08-23 [caduca: 2008-08-22] uso: SC
confianza: desconocido validez: desconocido
Huella de clave primaria: EB52 15D7 5EAD 15E5 274E ED98 43E6 8565 1952 16A5

Mi amigo imaginario (amigo)

Esta clave expirará el 2008-08-22.
¿Está realmente seguro de querer firmar esta clave
con su clave: "Alexandra Amaya (ALEX4) " (B800A812)?

¿Firmar de verdad? s

Necesita una frase contraseña para desbloquear la clave secreta
del usuario: "Alexandra Amaya (ALEX4) "
clave DSA de 1024 bits, ID B800A812, creada el 2008-05-07

Introzca frase contraseña:
gpg: el agente gpg no esta disponible en esta sesión

# gpg --export -o llave_amigo.txt -a 195216A5

Para comprobar que el archivo si fue exportado miramos el contenido de dicho archivo
# cat llave_amigo.txt --> Este sera el archivo de la llave de mi amigo ya firmado por mi. Ejemplo:

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.6 (GNU/Linux)
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=NkGT
-----END PGP PUBLIC KEY BLOCK-----

Esta sera la llave que subiremos al servidor, http://wwwkeys.pgp.net para que aparezca en mi circulo de confianza o llaves firmadas.

# gpg -c -a new.txt --> Encripta (-c)un archivo en metodo ascii (-a). (new.txt.asc) el .txt si quiere lo ponen o lo escluyen.

# gpg -d -o cript desencript.asc --> Desencripta (-d) el archivo creado (-o=archivo de salida, desencript.asc) y despues el archivo a desencriptar (cript). Algo muy importante es recordar que con la frase que encriptamos es con la misma que desencriptamos osino sacara error (descifrado fallido: clave incorrecta)

# gpg -s -a archivo --> Para firmar un archivo creado por nosotros (archivo) y lo firma archivo.asc

# gpg -R [ID] -e [archivo] --> Para firmar con la llave publica de otra persona.

# gpg -a -o [llave_exportada.txt] --export-secret-key --> Para exportar la clave Secreta.

# gpg --import [llave_exportada.txt] --> Para importar la llave privada desde otro PC.

SSL y TLS

Secure Sockets Layer SSL (seguridad de la capa de transporte): Es un protocolo criptografico que proporciona comunicacion segura en Internet.
SSL proporciona autenticacion y privacidad de la informacion entre externos sobre Internet mediante el uso de criptografia. Habitualmente solo el servidor es autenticado, mientras el cliente semantiene sin autenticar (garantizar su identidad); la autenticacion mutua requiere un despliegue de PKI (Infraestructura de claves Publicas) para los clientes. Permite a las aplicaciones cliente-servidor comunicarse de una forma diseñada para prevenir escuchas o phishing.

Comunicacion SSL

Transport Layer Secure TLS (Capa de transporte seguro): Es un protocolo para establecer una conexion segura entre un cliente y un servidor y la creacion de una conexion cifrada entre los dos.
El protocolo es extensible, en el sentido de los nuevos algoritmos que se pueden añadir para alguno de estos fines, siempre y cuando el servidor y el cliente son conscientes de los nuevos algoritmos.

Certificado digital

Es un documento digital mediante el cual se garantiza la vinculacion entre una clve publica y una entidad con reconocimiento en este tema, permite verificar que una clave publica especifica pertenece, efectivamente a un individuo determinado. El certificado contiene usualmente el nombre de la entidad certificada, un numero o serial, fecha de espiración, copia de la clave publica del titular de certificado.
Los browsers tienen interconstruidas las llaves públicas de varias Autoridades Certificadoras, pueden revisar la firma digital del certificado, y así corroborar la identidad del servidor.

Los certificados ayudan a prevenir que alguien utilice una clave para hacerse pasar por otra entidad.

Ejemplo de un Certificado Digital:

Certificate:
Data:
Version: 3 (0x2)
Serial Number: 21 (0x15)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=CO, ST=Antioquia, L=Medellin, O=CA-SENA
Validity
Not Before: May 8 07:05:07 2008 GMT
Not After : Jun 8 07:05:07 2008 GMT
Subject: OU=Teleinformatica
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
00:99:f0:ff:cf:f8:26:46:26:b8:9a:99:40:2f:f9:
fc:60:65:44:8f:7c:73:df:2f:49:52:0c:c8:7d:2c:
b3:44:a5:e0:cd:61:ef:de:15:01:bd:71:3f:88:65:
54:29:88:5c:5c:a5:b8:dd:54:26:8a:81:d7:91:ea:
51:7e:b6:29:83:60:50:5b:f0:03:e3:90:1b:4d:16:
bf:0f:b7:3d:1a:74:53:66:f4:1e:fa:0e:bc:ab:fd:
f4:a8:1c:ef:00:6c:63:20:89:98:53:49:6c:94:6f:
e2:3f:77:e7:28:30:cd:ca:c2:34:98:e7:bd:69:8d:
8a:15:92:fc:8b:81:37:23:19
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
34:F8:F4:DD:3D:2E:2E:C8:C0:DA:E1:D6:0A:B8:DD:24:19:71:F8:11
X509v3 Authority Key Identifier:
keyid:9F:D4:CD:CF:75:E1:D3:E6:45:86:95:0F:99:38:52:BF:AC:3A:30:35

Signature Algorithm: sha1WithRSAEncryption
a5:0f:1a:78:22:b8:91:94:4d:d6:67:ee:87:5d:a9:79:d0:bf:
df:86:de:87:82:3f:a0:ff:d6:a7:bd:62:fb:5f:9b:0c:8e:42:
1e:ac:27:02:26:ef:1c:16:b4:95:8e:de:51:ae:32:7c:43:29:
e2:20:b8:7b:7d:0f:8b:f0:e3:38:10:b7:f5:5d:f8:71:86:d6:
b5:dd:58:fa:ff:09:35:ed:b8:06:58:1f:7f:bc:d8:4f:9b:75:
de:3c:f4:d7:98:ca:b4:7e:95:b2:f4:ee:0d:1d:8c:91:07:ac:
6b:b4:da:b3:89:93:d1:b0:4e:0d:96:1b:e2:50:c7:92:65:fe:
46:4f
-----BEGIN CERTIFICATE-----
MIICUTCCAbqgAwIBAgIBFTANBgkqhkiG9w0BAQUFADBGMQswCQYDVQQGEwJDTzES
MBAGA1UECBMJQW50aW9xdWlhMREwDwYDVQQHEwhNZWRlbGxpbjEQMA4GA1UEChMH
Q0EtU0VOQTAeFw0wODA1MDgwNzA1MDdaFw0wODA2MDgwNzA1MDdaMBoxGDAWBgNV
BAsTD1RlbGVpbmZvcm1hdGljYTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEA
mfD/z/gmRia4mplAL/n8YGVEj3xz3y9JUgzIfSyzRKXgzWHv3hUBvXE/iGVUKYhc
XKW43VQmioHXkepRfrYpg2BQW/AD45AbTRa/D7c9GnRTZvQe+g68q/30qBzvAGxj
IImYU0lslG/iP3fnKDDNysI0mOe9aY2KFZL8i4E3IxkCAwEAAaN7MHkwCQYDVR0T
BAIwADAsBglghkgBhvhCAQ0EHxYdT3BlblNTTCBHZW5lcmF0ZWQgQ2VydGlmaWNh
dGUwHQYDVR0OBBYEFDT49N09Li7IwNrh1gq43SQZcfgRMB8GA1UdIwQYMBaAFJ/U
zc914dPmRYaVD5k4Ur+sOjA1MA0GCSqGSIb3DQEBBQUAA4GBAKUPGngiuJGUTdZn
7oddqXnQv9+G3oeCP6D/1qe9YvtfmwyOQh6sJwIm7xwWtJWO3lGuMnxDKeIguHt9
D4vw4zgQt/Vd+HGG1rXdWPr/CTXtuAZYH3+82E+bdd489NeYyrR+lbL07g0djJEH
rGu02rOJk9GwTg2WG+JQx5Jl/kZP
-----END CERTIFICATE-----

FLISoL 2008

Llego el tan esperado día en donde compartimos solo software libre. El pasado sábado 26 de Abril en el parque Explora desde las 10 am hasta las 5 pm fue dicho evento que tubo la visita de mas de 600 interesados en el Software Libre, los cuales pudieron ver talleres, conferencias, Instalaton, maquinas virtuales y demás temas tratados.
El evento apesar de unos pequeños inconvenientes como el del clima, fue todo un exito, asistieron mas personas de las esperadas y estuvieron interesadas en todo lo relacionado con el tema del FLISoL.
Aunque no tuve la dicha de asistir al FLISoL del 2007 me dicen que este no se quedo atras.

El trabajo de los organizadores no se puede dejar a un lado una gran FELICITACIÓN porque sacaron el evento adelante. Esperamos que vengan muchos mas FLISoL y que sean tan o mas buenos como este.

Para mirar unas de las fotos de este gran evento pulsa aqui!!!
Sacadas de uno de los asistentes al Festival.

Curiosidad!!!

Mirando por la web, me encontre con una pagina muy curiosa diria yo, es gracioso lo que comentan aca, porque creo que en parte trata la realidad de lo que vivimos unas personas que conocemos mas de un computador que otras, que son mas inespertas. Este link lo saque de la galería de la pagina de geek wear, si la misma empresa encargada de vender las camisas, gorras, tux, y demas cosas de Software Libre en el FLISoL 2008 realizado en Medellín el pasado Sábado 26 de Abril.

Me pareció algo bueno para compartir con ustedes los lectores de mi blog, para leer dicho documento has clic aquí.

Firma Digital

Sistema compuesto de hardware, software, canales de comunicacion y recursos humanos que provee un marco de seguridad y confianza a los documentos electronicos, permitiendo asociar la identidad de una persona o de un equipo informatico a un mensaje o documento.

Para hacer firmas digitales podemos utilizar GNUPG (GNU Privacy Guard) es una herramienta para cifrado y firmas digitales, un reemplazo del PGP (Pretty Good Privacy) pero con la principal diferencia que es software libre bajo licencia GPL. Para instalar esta herramienta en linux solo basta con el siguiente comando:
# apt-get install gnugp

Para ejecutarlo solo es cuestion de dar unos comandos.
# gpg --help --> Nos mostrara las formas de utilizarlo, los algoritmos con los que trabaja y nos dara algunos ejemplos.

Un ejemplo de una Firma Digital en codigo ASCII, que es el encargado de poner lo cifrado en una forma mas ordenada por parrafos.

--> Primero creamos la firma en texto claro. pico firma.txt (Mi firma de correo)
--> Luego la ciframos con:
# gpg -s -a firma.txt (-s=crea una firma, -a=metodo ascii) donde nos preguntara lo siguiente.

Necesita una frase contraseña para desbloquear la clave secreta
del usuario: "Alexandra Amaya (ALEX4) "
clave DSA de 1024 bits, ID 62B5503A, creada el 2008-04-16

gpg: el agente gpg no esta disponible en esta sesión
Introduzca frase contraseña: -->aca debemos ingresar nuestra frase secreta.

Ahora miramos el archivo firmado que sera firma.txt.asc (.asc=Formato ascii)
# cat firma.txt.asc

-----BEGIN PGP MESSAGE-----
Version: GnuPG v1.4.6 (GNU/Linux)

owGbwMvMwCQostDXZwfDCiHGNZ5J3LmVaZlFuYl6JRUlHkp+U12LSxIVUosVcjMV
wOIKKZnpmSWJOToKKak5Csn5RUWp+UAmSL44NS9RT09PEQS4OuyZWRlABsAMF2Tq
D2aYZ9S3QNE11/eX6Uo54wm79Wp6znOqM8wPsvl6czbPYvYpjgXuOnMygySeh6wC
AA==
=VTlf
-----END PGP MESSAGE-----

Para verificar la firma de un compañero se puede hacer asi:

# gpg --verify firma_ana.txt.asc -->Mostrara lo siguiente.
gpg: Firmado el jue 17 abr 2008 10:42:06 COT usando clave DSA ID 85C2AB4C
gpg: Imposible comprobar la firma: Clave pública no encontrada

No sera lo correcto por eso antes debemos hacer algo como acontinuacion. Copiar la clave en un archivo el cual importaremos (clave_ana.txt).
Importar la clave asi:
# gpg --import clave_ana.txt --> Clave de mi compañera
gpg: clave 85C2AB4C: clave pública "Ana Zapata " importada
gpg: Cantidad total procesada: 1
gpg: importadas: 1
gpg: 3 dudosa(s) necesarias, 1 completa(s) necesarias,
modelo de confianza PGP
gpg: nivel: 0 validez: 1 firmada: 0 confianza: 0-, 0q, 0n, 0m, 0f, 1u
gpg: siguiente comprobación de base de datos de confianza el: 2008-05-14

Ahora en el momento que hacemos un: # gpg --list-key listara dos claves la de mi compañera y la mia. Ejemplo
# gpg --list-key
/home/alexandra/.gnupg/pubring.gpg
----------------------------------
pub 1024D/B800A812 2008-05-07 [[caduca: 2008-05-14]]
uid Alexandra Amaya (ALEX4)
sub 2048g/92E6E455 2008-05-07 [[caduca: 2008-05-14]]

pub 1024D/85C2AB4C 2008-04-17 [[caduca: 2008-05-17]]
uid Ana Zapata
sub 2048g/386B1EC5 2008-04-17 [[caduca: 2008-05-17]]

Verificar la firma del compañero:
# gpg --verify firma_ana.txt.asc
gpg: Firmado el jue 17 abr 2008 10:42:06 COT usando clave DSA ID 85C2AB4C
gpg: Firma correcta de "Ana Zapata "
gpg: ATENCIÓN: ¡Esta clave no está certificada por una firma de confianza!
gpg: No hay indicios de que la firma pertenezca al propietario.
Huellas dactilares de la clave primaria: CB74 BA88 29AC 5145 F51A C3AA 579B EA89 85C2 AB4C

Como no hemos firmado la llave del compañero por eso nos aparece " No hay indicios de que la firma pertenezca al propietario". Pero para firmarla asi:
# gpg --sign-key 85C2AB4C (ID)

pub 1024D/85C2AB4C creado: 2008-04-17 [caduca: 2008-05-17] uso: SC
confianza: desconocido validez: desconocido
sub 2048g/386B1EC5 creado: 2008-04-17 [caduca: 2008-05-17] uso: E
desconocido (1). Ana Zapata

pub 1024D/85C2AB4C creado: 2008-04-17 [caduca: 2008-05-17] uso: SC
confianza: desconocido validez: desconocido
Huella de clave primaria: CB74 BA88 29AC 5145 F51A C3AA 579B EA89 85C2 AB4C

Ana Zapata

Esta clave expirará el 2008-05-17.
¿Está realmente seguro de querer firmar esta clave
con su clave: "Alexandra Amaya (ALEX4) " (B800A812)?

¿Firmar de verdad? s

Introduzca frase contraseña: --> (Ingresamos nuestra frase secreta)

Necesita una frase contraseña para desbloquear la clave secreta
del usuario: "Alexandra Amaya (ALEX4) "
clave DSA de 1024 bits, ID B800A812, creada el 2008-05-07

gpg: el agente gpg no esta disponible en esta sesión

Ahora si en el momento de hacer: # gpg --verify firma_ana.txt.asc NO nos mostrara lo anterior
gpg: Firmado el jue 17 abr 2008 10:42:06 COT usando clave DSA ID 85C2AB4C
gpg: Firma correcta de "Ana Zapata "

Terminamos espero me hallan entendido, o si no me pueden dejar comentarios que con gusto corregire mis errores o procurare ser mas clara.

Criptografia

La palabra criptología proviene de las palabras griegas Kryto y logos que siginifica estudio de lo oculto.
Nace de la necesidad de enviar información secreta entre dos entidades (personas, empresas, organizaciones) atraves de Internet, para que terceras personas no vean lo que es enviado y asi proteger los datos.

Servicios de le criptografia:
-->Autenticacion: Asegurar que el origen de la informacion es quien dice ser.
-->Confidencialidad: Impedir que la informacion sea vista por quien no debe.
-->Integridad: Asegurar que la informacion nose modificacuando se transmite o almacena.
-->No repudio: Impedir que alguien niegue haber realizado una transaccion cuando efectivamente lo ha hecho.

Tipos de criptografia
Segun el tratamiento del mensaje se dividen en:
-->En bloque (IDEA, AES, RSA) 64 o 128 bits
-->Cifrado en flujo (A5, RC4, SEAL) cifrado bit a bit

Segun el tipo de claves se dividen en:
-->Cifrado con clave secreta "Sistemas Simetricos"
-->Cifrado con clave publica son "Sistemas Asimetricos"

Tipos de Algoritmos
Simetrico: Tambien conocida como "criptografia clasica o de llave privada". Es la que solo posee una llave, con la llave que encripta solo se puede descencriptar si conoce diche clave.
Asimetrico: Tambie conocida como "criptografia moderna o llave publica". Esta posee 2 llaves una privada y una publica, dos para el emisor (transmite) y dos para el receptor (resibe), osea que serian 4 llaves (K).
HASH o resumen:Se utiliza para garantizar la integridad de un mensaje. Es paraecido a los codigos de (CRC) Control de Redundancia Ciclica pero mucho mas robustos frente a ataques.

Tecnicas Clasicas
-->Ocultacion: Ocultar mensajes dentro de otro.
-->Sustitucion: Cada caracter (letra) del texto claro se sustituye por otro en texto cifrado.
-->Transposición: Cambiar el orden de los caracteres del texto plano. Ejm poner texto horizontal en vertical.

Ejemplos de algoritmos simétricos:
-DES (Data Encryption Standard):Utiliza claves de 56 bits y 8 de paridad (64 bits), utiliza mecanismos de transposición y sustitucion.
-3DES:Consiste en aplicar DES tres veces seguidas, se considera un algoritmo seguro, es lento comparado con algoritmos mas modernos.
-IDEA (International Data Encryption Alg):Claves de 128 bits. Es dos veces mas rapido que el DES, muy utilizado en Europa.
-AES (Advanced Encryption Standard):Algoritmo de cifrado en bloques de 128 bits, para información sensible( "no clasificada"

Ejemplos de algoritmos asimétricos:
-DH (Diffie Hellman): Claves de 512, 1024. Utilizado mayoritariamente para negociar claves.
-RSA (Rivest Shamir Addleman): Utiliza claves de 512, 768, 1024 o 2048. Utilizado mayoritariamente para firmar.
-DSA (Digital Signature Algorithm): Inicialmente se utilizaban claves de 512 y posteriormente se incremento a 1024 para mayor seguridad.

Configuracion VPN en ISA Server

Red Privada Virtual (RPV), en inglés Virtual Private Network (VPN), es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo Internet.
Ejemplos comunes son, la posibilidad de conectar dos o más sucursales de una empresa utilizando como vínculo Internet, permitir a los miembros del equipo de soporte técnico la conexión desde su casa al centro de cómputo, o que un usuario pueda acceder a su equipo doméstico desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando la infraestructura de Internet.

Los pasos para la configuracion de una VPN Client-Server o Empleado-sucursal los pongo con unas imagenes acontinuacion.

Instalando VPNs en ISA Server 2006

Nota: Al terminar la configuracion de la VPN debemos aplicar los cambios.
Y no es por demas decir que para que nuestro usuario se comunique con la sucursal es necesario crear una nueva conexion VPN desde el computador personal que usaremos para conectarnos con el Servidor. Es importante en el momento de escribir una contraseña compartida, copiar bien los caracteres y distinguir entre minusculas y mayusculas.

ISA Server 2006

Microsoft Internet Security and Acceleration Server (ISA Server) es un firewall de stateful packet inspection (es decir, analiza el encabezado de los paquetes IP) y de application layer (analizan la trama de datos en busca de tráfico sospechoso). Adicionalmente, ISA Server es un firewall de red, VPN y web cache.

Es el Gateway integrado de seguridad perimetral que permite proteger su entorno de Infraestructura Tecnologica (TI) frente a las amenazas de internet, ademas de proporcionar a los usuarios un acceso remoto seguro a las aplicaciones y datos corporativos.

Pasos para la instalacion de ISA Server 2006

Antes de empezar es necesario recordar que para poder instalar ISA server debe tener como minimo dos tarjetas de red, una para la red interna (LAN) y la otra para red externa (WAN) porque de lo contrario no se instalara.

En este ejercicio el instalador lo sacaremos del FTP del SENA, para las personas que no lo tengan, lo pueden descargar.

-Primero ejacutamos el programa de instalacion.

Aca nos aparecen varias opciones que son:

-Instalar ISA server 2006(Install ISA Server 2006)=Esta es la opcion de instalar el isa server.

-Leer notas de la version (Roon upgrade guide)=Breve explicacion de las opciones que contiene ISA Server.

-Salir (Exit)=Para salir del instalador.

Como lo que queremos es instalar le damos en la primera opcion. Despues nos aparecera una bienvenida al sistema de instalacion de ISA server.
-Siguiente

Ahora nos pedira la clave del producto. Con el que yo estoy trabajando es de prueva por eso este trae la clave del pruducto ya lista.
-Siguiente

Escogemos el esenario en que deseamos instalar. Como es nuestro primer ISA server le daremos clic en:
-Ambos ISA Server y el servidor de almacenamiento de configuracion.

En caso de que existiera otro ISA server escogeriamos otra opcion.
-Siguiente

Selecionar componentes: Miramos que este selecionado Isa server
-Siguiente

Opciones de instalacion de empresa:
-Clic crear una nueva empresa de ISA Server
-Siguiente

Aparecera un aviso de peligro
-Siguiente

Cuenta de servidor de almacenamiento de configuracion ejm:
-Usuario (Administrador)
-Contraseña (************)
-Siguiente

Ahora escogemos nuestra red Interna, Clic en agregar adaptador y escogemos el adaptador de red.
-Siguiente

Conexion de cliente Firewall
-Siguiente

Nota: Si no queremos una comunicacion encriptada con el cliente firewall seleccionamos la opcion permitir conecciones no encriptadas.

Las siguientes dos opciones son de precaucion y nos preguntaran si estamos listos para instalar ISA server.
-Siguiente
-Install

Amedida que Isa Server se instala nos pedira el CD 2 del Sistema Operativo osea el cd de Windows 2003 Server R2 en ingles, para acabar de instalar.

Cuando termina la instalacion nos aparecera una ventana de finalizacion donde hay una opcion para invocar la consola de administracion de ISA SERVER si queremos invocarla le damos clic en la opcion para invocar y luego clic en -finalizar.

Y por ultimo y mas obvio reinicir el computador.

Otra forma de iniciar la consola de Administracion del ISA server es:
-Inicio
-Todos los programas
-Microsoft ISA server
-ISA server Management

Materiales Libres

Para las personas que estamos iniciando nuestros conocimientos en Linux encontre esta pagina que publico el profesor Camilo Zapata donde encontraremos unos documentos muy interesantes acerca del software libre y los podemos descargar, lo mejor en español para los que no saben ingles http://www.uoc.edu/posgrado/matricula_abierta/web/materiales_libres.html.

Que orgullo!!!

Para mi es un placer compartir con ustedes esta foto (Tomada en el sena) e informacion que me encontre en la pagina de la revista Essentia Libre en la edicion numero 10, la cual esta en formato PDF. En la revista aparece el reconocido Ingeniero Electronico Fernando Quintero "nonroot" conocido en el SENA como Docente de esta institucion en el area de Teleinformatica, acompañado de Astid Sanches "y0sita" Ingeniera Electronica.

En la edicion de esta revista los dos Ingenieros hablan de la importancia de la comunidad OpenBSD Colombia a la que ellos pertenecen, hacen aportes importantes acerca del software libre y de BSD.

Para los que no conocian la revista al igual que yo les cuento que es la primera revista Colombiana que trata todos los temas relacionados con tecnologías libres(Hardware, Software), Contenidos abiertos y Licencias Libres. En la pagina oficial de la revista podemos descargar todas ediciones que han salido en formato PDF para que conozcamos este nuevo proyecto.

Con esto concluyo que el Ingeniero Fernando Quintero anterior profesor mio en modulo de
instalacion y configuracion de servidores en Administracion de Redes, es un teso para el mundo del sotware libre y claro como no, si tiene mas de 10 años que conoce Unix. Espero conocer este mundo igual o mas que el. Jejeje

Algunos terminos de seguridad

DMZ (en ingles Demilitarized zone) o Zona DesMilitarizada. En seguridad informática, una zona desmilitarizada (DMZ) o red perimetral es una red local (una subred) que se ubica entre la red interna de una organización y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo se permitan a la red externa -- los equipos (hosts) en la DMZ no pueden conectar con la red interna. Esto permite que los equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejón sin salida. La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accedidos desde fuera, como servidores de e-mail, Web y DNS.

-SPOOFING: en términos de seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación. La idea de este ataque - al menos la idea - es muy sencilla, desde su equipo, un pirata simula la identidad de otra máquina de la red para conseguir acceso a recursos de un tercer sistema que ha establecido algún tipo de confianza basada en el nombre o la dirección IP del host suplantado.
Existen diferentes tipos de spoofing dependiendo de la tecnología a la que nos refiramos, los cuales se describirán más adelante, como el IP spoofing (quizás el más conocido), ARP spoofing, DNS spoofing, Web spoofing o e-mail spoofing, aunque en general se puede englobar dentro de spoofing cualquier tecnología de red susceptible de sufrir suplantaciones de identidad.

-IP SPOOFING: Suplantación de IP. Consiste básicamente en sustituir la dirección IP origen de un paquete TCP/IP por otra dirección IP a la cual se desea suplantar. Esto se consigue generalmente gracias a programas destinados a ello y puede ser usado para cualquier protocolo dentro de TCP/IP como ICMP, UDP o TCP. Hay que tener en cuenta que las respuestas del host que reciba los paquetes irán dirigidas a la IP falsificada.

-ARP SPOOFING: Suplantación de identidad por falsificación de tabla ARP. Se trata de la construcción de tramas de solicitud y respuesta ARP modificadas con el objetivo de falsear la tabla ARP (relación IP-MAC) de una víctima y forzarla a que envíe los paquetes a un host atacante en lugar de hacerlo a su destino legítimo. Explicándolo de una manera más sencilla: El protocolo Ethernet trabaja mediante direcciones MAC, no mediante direcciones IP. ARP es el protocolo encargado de traducir direcciones IP a direcciones MAC para que la comunicación pueda establecerse; para ello cuando un host quiere comunicarse con una IP emite una trama ARP-Request a la dirección de Broadcast pidiendo la MAC del host poseedor la IP con la que desea comunicarse. El ordenador con la IP solicitada responde con un ARP-Reply indicando su MAC. Una manera de protegerse de esta técnica es mediante tablas ARP estáticas (simpre que las ips de red sean fijas), lo cual puede ser difícil en redes grandes. Para convertir una tabla ARP estática se tendría que ejecutar el comando:
Ejemplo en consola: arp -s [IP] [MAC]
(arp -s 192.168.85.212 00-aa-00-62-c6-09)

-DNS SPOOFING: Suplantación de identidad por nombre de dominio. Se trata del falseamiento de una relación "Nombre de dominio-IP" ante una consulta de resolución de nombre, es decir, resolver con una dirección IP falsa un cierto nombre DNS o viceversa. Esto se consigue falseando las entradas de la relación Nombre de dominio-IP de un servidor DNS, mediante alguna vulnerabilidad del servidor en concreto o por su confianza hacia servidores poco fiables. Las entradas falseadas de un servidor DNS son susceptibles de infectar (envenenar) el caché DNS de otro servidor diferente.

-WEB SPOOFING: Suplantación de una página web real (no confundir con phising). Enruta la conexión de una víctima a través de una página falsa hacia otras páginas WEB con el objetivo de obtener información de dicha víctima (páginas WEB vistas, información de formularios, contraseñas etc.). La página WEB falsa actúa a modo de proxy solicitando la información requerida por la víctima a cada servidor original y saltándose incluso la protección SSL. El atacante puede modificar cualquier información desde y hacia cualquier servidor que la víctima visite. La víctima puede abrir la página web falsa mediante cualquier tipo de engaño, incluso abriendo un simple LINK. El WEB SPOOFING es difícilmente detectable, quizá la mejor medida es algún plugin del navegador que muestre en todo momento la IP del servidor visitado, si la IP nunca cambia al visitar diferentes páginas WEB significará que probablemente estemos sufriendo este tipo de ataque.

-MAIL SPOOFING: Suplantación en correo electrónico de la dirección e-mail de otras personas o entidades. Esta técnica es usada con asiduidad para el envío de e-mails hoax como suplemento perfecto para el uso de phising y para SPAM, es tan sencilla como el uso de un servidor SMTP configurado para tal fin. Para protegerse se debería comprobar la IP del remitente (para averiguar si realmente esa ip pertenece a la entidad que indica en el mensaje) y la dirección del servidor SMTP utilizado. Otra técnica de protección es el uso de firmas digitales.

Shadow es un programa de ordenador que permite mejorar el sistema de contraseñas ofreciendo algunas ventajas sobre el estándar previo de almacenaje de contraseñas en Unix y Linux. En las versiones más recientes de Linux no es necesario instalarlo puesto que ya viene incluido.
Shadow borra las claves secretas codificadas del fichero /etc/passwd, que necesariamente es legible para todos, y las sitúa en el fichero /etc/shadow el cual solo puede leer el root.
Para habilitar contraseñas ocultas y contraseñas ocultas para grupo tenemos los comandos pwconv y grpconv respectivamente.

Ataque Nukes: Dicho ataque consiste en enviar paquetes de datos ICMP fragmentados o de alguna otra forma inválidos a un objetivo, lo que se consigue usando una herramienta de ping modificada para enviar estos datos corruptos una y otra vez, ralentizando la computadora afectada hasta que deje de funcionar. En los juegos en línea, "nukear" es mandar mensajes uno tras del otro a uno o varios usuarios, en rápida sucesión, que contienen texto al azar. Dichas técnicas también se ven en programas de mensajería instantánea ya que el texto repetido puede ser asignado a una macro o AppleScript. Hoy en día, los sistemas operativos modernos son resistentes a esas técnicas, y la mayoría de los juegos en línea traen "control de inundación" (flood control).

Firma digital o firma electrónica es, en la transmisión de mensajes telematematicos y en la gestion de documentos electronicos, un metodo criptográfico que asocia la identidad de una persona o de un equipo informático al mensaje o documento. En función del tipo de firma, puede, además, asegurar la integridad del documento o mensaje.
La firma electrónica, como la firma olografa (autografa, manuscrita), puede vincularse a un documento para identificar al autor, para señalar conformidad (o disconformidad) con el contenido, para indicar que se ha leido o, según el tipo de firma, garantizar que no se pueda modificar su contenido.

Data Encryption Standard (DES) es un algoritmo de cifrado, es decir, un método para cifrar información, escogido como FIPS en los Estados Unidos cuyo uso se ha propagado ampliamente por todo el mundo. El algoritmo fue controvertido al principio, con algunos elementos de diseño clasificados, una longitud de clave relativamente corta, y las continuas sospechas sobre la existencia de alguna puerta trasera para la National Security Agency (NSA). Posteriormente DES fue sometido a un intenso análisis académico y motivó el concepto moderno del cifrado por bloques y su criptoanálisis. Hoy en día, DES se considera inseguro para muchas aplicaciones.

Agujero de seguridad es un fallo en un programa que permite mediante su explotación violar la seguridad de un sistema informático.
Esto también se ha comenzado a aplicar a los servicios web, tales como páginas web, correo, IRC, MSN, chat, etc, con el objetivo de obtener información de personas que usen el servidor. A las personas que buscan errores en los sitios webs se les llama hackers.

Desbordamiento de buffer (buffer overflow o buffer overrun) es un error de software que se produce cuando se copia una cantidad de datos sobre un área que no es lo suficientemente grande para contenerlos, sobrescribiendo de esta manera otras zonas de memoria. Como consecuencia, se producirá una excepcion del acceso a memoria seguido de la terminación del programa o, si se trata de un usuario obrando con malas intenciones (Craker), la explotacion de una vulnerabilidad o agujero de seguridad.

Phishing es un término utilizado en informática con el cual se denomina el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta, como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria. El estafador, mejor conocido como phisher se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico o algún sistema de mensajería instantánea.
La gran mayoría de Phishing utiliza fallos en el Internet Explorer, por eso es recomendable que Use Firefox con la barra Google la cual incorpora una herramienta anti phishing totalmente gratis, o bien puedes usar cualquiera del software anti phishing.

Sacado de la Wikipedia