viernes, 23 de mayo de 2008

Como se hace el logo de Google???

Aca les dejo un pequeño video de como es el proceso para hacer uno de los logos del buscador mas conocido en el mundo, pues se trata de Google. Espero les guste. jejeje

jueves, 22 de mayo de 2008

IPsec con racoon

El soporte de IPsec está normalmente implementado en el núcleo con la gestión de claves y negociación de ISAKMP/IKE realizada en espacio de usuario. Las implementaciones de IPsec existentes suelen incluir ambas funcionalidades. Sin embargo, como hay un interfaz estándar para la gestión de claves, es posible controlar una pila IPsec de núcleo utilizando las herramientas de gestión de claves de una implementación distinta.

En este blog ahi otros link sobre este tema:
--Que es IPsec??
--Configuracion IPsec Linux-Linux

Para poder hacer una comunicacion de Windows a Linux o Linux a Windows utilizando IPsec, debemos instalasr RACOON.

Para intalarlo procedemos hacer lo siguiente:
--> # atp-get install racoon.

Ahi nos mostrara una imagen como esta.

Le indicamos el modo de configuracion para el demonio IKE que es de forma directa. Al terminar de instalar racoon nos debio crear un directorio en /etc/ llamado racoon (/etc/racoon) en este directorio ahi unos archivos psk.txt, racoon.conf, racoon-tool.conf que seran los que configuraremos.

*Editamos en archivo psk.txt, es recomendable comentar todas las lineas por default y agregar las nuestras con la nueva configuracion:

# Pv4/v6 addresses
# 10.160.94.3 mekmitasdigoat
# 172.16.1.133 0x12345678
# 194.100.55.1 whatcertificatereally
# 3ffe:501:410:ffff:200:86ff:fe05:80fa mekmitasdigoat
# 3ffe:501:410:ffff:210:4bff:fea2:8baa mekmitasdigoat
# USER_FQDN
# foo@kame.net mekmitasdigoat
# FQDN
foo.kame.net hoge -->No se comenta.
# Direcciones IPv4
192.168.1.1 clave pre compartida simple
192.168.1.2 "ana-alex41pqow05";
# USER_FQDN
alexa@misena.edu.co Esta es una clave pre compartida para una dirección de correo

# FQDN

*Editamos el archivo racoon.conf
# pico /etc/racoon/racoon.conf

Contenido de este archivo.

# # Please look in /usr/share/doc/racoon/examples for # examples that come with the source. # # Please read racoon.conf(5) for details, and alsoread setkey(8). # # # Also read the Linux IPSEC Howto up at # http://www.ipsec-howto.org/t1.html # path pre_shared_key "/etc/racoon/psk.txt"; -->Descomentamos esta linea
path certificate "/etc/racoon/certs"; -->Descomentamos esta linea

Desde aqui empieza la configuracion de los datos del equipo y las claves. etc

remote 10.3.16.101 {
exchange_mode main,aggressive;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group modp1024;
}
generate_policy off;
}

sainfo address 10.3.16.69[any] any address 10.3.16.101[any] any {
pfs_group modp768;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}


Por ahora no configuaremos el archivo de racoon-tools.cof

*Ahora reiniciamos racoon

# /etc/init.d/racoon restart

Con este comando podemos probar si nuestra configuracion esta buena.
# tcpdump -i eth1 src host 10.3.16.69 or dst host 10.3.16.69 -->IP de mi equipo

En el momento de que el otro equipo que configuramos igual, nos haga ping nos debe arrojar una informacion como esta.

En la imagen anterior podemos observar las fases de establecimiento de la comunicación entre los dos equipos con la configuración de racoon, como es el procedimiento para el intercambio de llaves y que estamos utilizando el protocolo isakmp.

Configuracion de IPsec Windows-Windows

En entradas anteriores a este blolg, se explico que es IPsec por eso no lo explicare ahora y empezare rapido con la configuracion. Para los que no la han visto mira este link: Ques es IPsec ??.

Esta politica sera creada y aplicada, para que en el momento de hacer un PING se ejecute utilizando IPsec y haga todo el procedimiento de negociacion.

Para instalar ipsec en windows debemos abrir una consola de administracion:
-->Inicio
-->Ejecutar mmc

Al darle mmc nos aparece una consola asi:
Ahora para poder agregat las funsiones de IPsec le daremos en:
-->Archivo (File)
-->Agregar o quitar complemento (Add/Remove span-in)
-->Agregar (Add)
-->Para monitorear IPsec afregamos IP Security Monitor.
-->Y tambien agregamos el Administrador de las directivas de seguridad IP (IP security Policy Management)
Al agregar esta opcion nos aparecera una ventana donde nos pregunta que si usaremos IPsec en el computador local o en Directorio Activo.
-->Computador Local (Computer Local)
-->Finish
Nos quedara algo asi:
Para empezar a crear nuestras reglas hacemos lo siguiente:
-->Clic en IP Security Polices on Local Computer.
-->En la parte derecha de esa opcion le damos clic derecho, Crear una politica de seguridad IP.

Al hacer esto nos aparece un aciste de instalacion para la nueva politica:
-->Siguiente
-->Esta es para ponerle el nombre a la politica y la descripcion.
-->Siguiente
-->Activamos que por defecto obtengamos una respuesta de esta politica al ser aplicada.
-->Siguiente
-->Como aplicaremos esta politica con una clave precompartida (sena) la digitaremos en esta opcion. Esta clave la debe tener igual configurada el equipo con el que se comunicara, porque de lo contrario no dara la comunicacion.
-->Siguiente
-->Finalizar y editar las opciones de la politica generada.

Al editarlas nos aparecen otras ventanas de configuracion. Como estamos haciendo una dependiendo de las necesidades que tenemos crearemos unas personalizadas.
-->Agregar
-->Siguiente

-->Al utilizar esta regla para cualquier conexion de red no ahi necesidad de crear un tunel, porque puede que la direccion IP del receptor cambie frecuentemente y no tenga una especificada.
-->Siguiente
-->Cualquier conexion de red o PING que hagamos, se le aplicara la politica.
-->Siguiente
-->Agregar una lista de Filtrado.
-->Agregar un filtro.
-->Siguiente
-->Hacemos una breve descripcion de l politica, por si tenemos varias sea facil reconocerla.
-->Siguiente
-->El trafico se iniciara desde mi direccion IP.
-->Siguiente
-->Direccion destino que sera cualquier IP en la red.
-->Siguiente
-->El protocolo. Como es una politica para que se aplique al mometo de hacer pings le daremos el protocolo ICMP.
-->Siguiente
-->Finalizar y editar propiedades.
-->Aca podremos cambiar las reglas u opcines especificadas ateriormente. En caso de alguna correcion.
-->En caso de escojer un protocolo y le podamos especificar el puerto. Lo cambiamos por aca.
-->Listo (OK)
Regresamos a las opciones de configuracion anterior.
-->Seleccionamos el fltrado de lista que acabamos de crear.
-->Siguiente
-->Agregar una accion de filtrado
-->Siguiente
-->Siguiente
-->Esta sera la respuesta de la regla del ping.
-->Siguiente
-->Negociar la seguridad de la politica.
-->Siguiente
-->Aca ponemos que la comunicacion solo sea efectuada con computadores que tengan una regla como esta o que tenga IPsec funsionando.
-->Siguiente
-->Trafico de seguridad IP. Hacemos uno personalizado.

-->Escogemos el algoritmo de encriptacion y el Hash que utilizaremos para la integridad.
-->Listo
-->Finalizar
-->Listo
-->Escogemos la regla de accion de filtrado que acabomos de crear (Respuesta ping)
-->Siguiente
-->Digitamos de nuevo la clave precompartida.
-->Siguiente
-->Finalizar.
La forma mas facil para mirar si nuestra regla si se aplica es haciendo un ping al equipo del otro extremo, que esta configurado de esta misma forma y nos debe mostrar lo siguiente.
En una consola CMD o simbolo del sistema realizamos el ping:
ping 10.3.9.143
Solo se puede asignar una regla a la vez:
-->Clic derecho sobre la regla que deseamos.
-->Asignar (Assign)
Para desasignarla es algo parecido:
-->Clic derecho sobre la regla que desasignaremos.
-->Desasignar (Un-assign)

Realizamos varias reglas una para trafico ICMP, HTTP, FTP y para carpetas compartidas SMB
y nos quedo algo asi. En este ejemplo solo se explico una, pero las demas son casi lo mismo. Solo debemos cambiar el protocolo y agregar el puerto por el que trabaje dicho servicio.

La ultima imagen tomada con todas las reglas hechas queda asi:

miércoles, 21 de mayo de 2008

Video Interesante

Me he encontrado un super video que quiero compartir con los lectores de mi blog. Al ver este video me doy de cuenta que la tecnologia esta avanzando mas de lo que yo creí y que quiero uno de los que exponen en el video. El único problema es que el audio es en Ingles, pero de todas formas aquí les dejo.



La noticia original de donde la leí es así:

Lo nuevo en Tecnología Multimedia: Surface

Muy notables avances en informática nos esperan en los próximos meses, sin duda los más grandes beneficios se verán reflejados en los programas de diseño grafico, web y todo lo relacionado con la Multimedia y desde luego estas aplicadas a la Educación, vean el siguiente vídeo para que se den una probadita de lo que el corporativo Microsoft nos tiene preparado ya en puerta con la denominada tecnología Surface.

Tomado de comunicamedia.blogspot.com

Configuracion de IPSec Linux-Linux


Para empezar instalamos el paquete de IPSec:
# apt-get install ipsec-tools

La configuracion estara en /etc/ipsec-tools.conf el cual contiene lo siguiente:
#!/usr/sbin/setkey -f

# NOTE: Do not use this file if you use racoon with racoon-tool

# utility. racoon-tool will setup SAs and SPDs automatically using
# /etc/racoon/racoon-tool.conf configuration.
## Flush the SAD and SPD

# flush;
# spdflush;

## Some sample SPDs for use racoon
# spdadd 10.10.100.1 10.10.100.2 any -P out ipsec
# esp/transport//require;
#
# spdadd 10.10.100.2 10.10.100.1 any -P in ipsec
# esp/transport//require;

Para configurar nuestro IPSec configuraremos dicho (/etc/ipsec-tools.conf)archivo asi:
# pico ipsec-tools.conf

Cuando tengamos editado el archivo descomentamos estas dos lineas:

flush;
spdflush;

Solo quitamos el signo # y listo.

Ya empezamos a poner nuestra configuracion. Agregaremos esto dos parrafos con la direcion ip del equipo con el que nos comunicaremos (10.3.16.101) la del equipo local sera (10.3.16.69) la clave compartida que utilizaremos sera la que esta entre “alexandra$analz-” que es una clave MD5 de 128 bits (16 caracteres) en la segunda linea las direcciones ip se hubicaran al contrario, -A es protocolo AH para Autenticar. Este es un ejemplo para ping.

Para configurarlo con AH (Autenticacion "-A")
CONFIGURACION DEL EQUIPO LOCAL

## Some sample SPDs for use ra con

add 10.3.16.69 10.3.16.101 ah 0x300 -A hmac-md5 "alexandra$analz-";
add 10.3.16.101 10.3.16.69 ah 0x200 -A hmac-md5 "alexandra$analz-";

Como utilizaremos ah las politicas seran asi:

# Políticas de seguridad

spdadd 10.3.16.69 10.3.16.101 any -P out ipsec
ah/transport//require;
spdadd 10.3.16.101 10.3.16.69 any -P in ipsec
ah/transport//require;


CONFIGURACION DEL OTRO EQUIPO DE LA COMUNICACION

add 10.3.16.101 10.3.16.69 ah 0x200 -A hmac-md5 "alexandra$analz-";
add 10.3.16.69 10.3.16.101 ah 0x300 -A hmac-md5 "alexandra$analz-";

# Políticas de seguridad
spdadd 10.3.16.101 10.3.16.69 any -P out ipsec
ah/transport//require;
spdadd 10.3.16.69 10.3.16.101 any -P in ipsec
ah/transport//require;

Recargaremos el IPSec de la siguiente forma:
# setkey -f ipsec-tools.conf


En el momento de mirar el ping NO nos mostraba la respuesta, le dimos el comando tcpdump -i eth1 quien nos mostraba la peticion de ping de la otra maquina (10.3.16.101) lo malo era que la maquina local (10.3.16.69) no contestaba.

Ahi le dimos el comando
# setkey -D

EL cual mostraba lo siuiente:

10.3.16.101 10.3.16.69
ah mode=transport spi=512(0x00000200) reqid=0(0x00000000)
A: hmac-md5 616c6578 616e6472 6124616e 616c7a2d
seq=0x00000000 replay=0 flags=0x00000000 state=mature
created: May 22 03:03:28 2008 current: May 22 04:20:28 2008
diff: 4620(s) hard: 0(s) soft: 0(s)
last: May 22 03:03:28 2008 hard: 0(s) soft: 0(s)
current: 142400(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 2225 hard: 0 soft: 0
sadb_seq=1 pid=7322 refcnt=0
10.3.16.69 10.3.16.101
ah mode=transport spi=768(0x00000300) reqid=0(0x00000000)
A: hmac-md5 616c6578 616e6472 6124616e 616c7a2d
seq=0x00000000 replay=0 flags=0x00000000 state=mature
created: May 22 03:03:28 2008 current: May 22 04:20:28 2008
diff: 4620(s) hard: 0(s) soft: 0(s)
last: May 22 03:03:28 2008 hard: 0(s) soft: 0(s)
current: 240300(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 2225 hard: 0 soft: 0
sadb_seq=0 pid=7322 refcnt=0

Como nuestro equipos estaban muy cerca comprobamos, que teniamos una parte de la configuracion mala y era que teniamos el numero xxxx300 cambiado por el xxxx200 asi “spi=512(0x00000300) spi=768(0x00000200)”

10.3.16.101 10.3.16.69
ah mode=transport spi=512(0x00000300) reqid=0(0x00000000)

10.3.16.69 10.3.16.101
ah mode=transport spi=768(0x00000200) reqid=0(0x00000000)


Para mirar el ping que nos haga la otra maquina le damos:
# tcpdump -i eth1 --> (ethX) Tarjeta de red por la que tenemos nuestra conexión establecida.

Para configuraalo con ESP (Encriptacion "-E")
## Some sample SPDs for use racoon
add 10.3.16.69 10.3.16.101 esp 0x300 -E 3des-cbc "qazxswedcvfrtgbnhyujmiko";
add 10.3.16.101 10.3.16.69 esp 0x200 -E 3des-cbc "qazxswedcvfrtgbnhyujmiko";

# Políticas de seguridad ESP
spdadd 10.3.16.69 10.3.16.101 any -P out ipsec
esp/transport//require;
spdadd 10.3.16.101 10.3.16.69 any -P in ipsec
esp/transport//require;


martes, 20 de mayo de 2008

Pagina web LinuxTube


Acabo de descubrir una pagina muy buena, nose hace cuanto exista pero la realidad apenas la descubri. Esta pagina es muy interesante para las personas Linuxeras y que ademas ven videos en YouTube, para ellos ha llegado Linux-Tube en la cual encontraremos vídeos de tutoriales de como instalar una aplicación, demostraciones de aplicaciones, comparaciones entre linux, Mac y Windows, etc...
Sin duda es una buena fuente de información para aprender a usar, configurar y conocer mas sobre linux, ya que hay vídeos de diversas distribuciones de Linux.

viernes, 16 de mayo de 2008

Que es IPsec ???

El crecimiento masivo de Internet y muchas mas redes de comunicacion son cada vez mas importantes en nuestras vidas diarias, desafortunadamente con esta dependencia han aumentado los ataques por parte de los depredadores de redes (Hackers).
Las formas de ataque descubiertas, la disponibilidad y distribucion de herramientas de ataques informaticos , asi como fallas en los programas de computadoras han provocado que las redes resulten cada vez mas vulnerables (expuestas).

Internet Protocol Security (IPsec): Es un conjunto de protocolos cuya funcion es asegurar las comunidades sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un conjuto de datos. IPsec tambien incluye protocolos para el establecimiento de claves de cifrado.

IPsec esta implementado por un conjunto de protocolos criptograficos para asegurar el flujo de paquetes, garantizar la autenticacion mutua y establecer parametros criptograficos.
Tambien cuenta con un conjunto servicios:

-->Autenticacion mutua: IPsec permite el intercambio y la comprobación de identidades sin exponer la información a la interpretación de un atacante. La comprobación mutua (autenticación) se utiliza para establecer la confianza entre los sistemas que se comunican. Sólo los sistemas de confianza se pueden comunicar entre sí. Los usuarios no tienen que estar en el mismo dominio para comunicar con la protección de IPSec. Pueden estar en cualquier dominio de confianza de la empresa. La comunicación se cifra, lo que dificulta la identificación e interpretación de la información.

-->Anti-reply: Asegura que el mensaje transmitido nose puede replicar por que dicho mensaje contiene un numero en secuencia (Secuense number) el cual nose puede repetir.

-->Confidencialidad: Es la propiedad de un documento o mensaje que únicamente está autorizado para ser leído o entendido por algunas personas o entidades. Un documento o mensaje es confidencial si éste sólo está autorizado a ser leído o entendido por un destinatario designado.

-->Integridad: Asegura que los datos trasmitidos no seran modificados por terceras personas.

-->Control de acceso: Se prodran aplicar reglas de seguridad que definen el nivel de seguridad deseado, para acceder alguna informacion.

El conjunto de protocolos de seguridad IP (IPsec) del IETF, provee seguridad para el trafico IP en la capa de red.

Funciona en dos modos:

Modo Transporte: proporcionar seguridad de (extremo a extremo) del tráfico de paquetes, en el que los ordenadores de los extremos finales realizan el procesado de seguridad. Sólo la carga útil (los datos que se transfieren) del paquete IP es cifrada y/o autenticada. El enrutamiento permanece intacto, ya que no se modifica ni se cifra la cabecera IP; sin embargo, cuando se utiliza la cabecera de autenticación (AH), las direcciones IP no pueden ser, ya que eso invalidaría el hash. Las capas de transporte y aplicación están siempre aseguradas por un hash, de forma que no pueden ser modificadas de ninguna manera (por ejemplo traduciendo los números de puerto TCP y UDP).

Modo Tunel: Todo el paquete IP (datos más cabeceras del mensaje) es cifrado y/o autenticado. Debe ser entonces encapsulado en un nuevo paquete IP para que funcione el enrutamiento. El modo túnel se utiliza para comunicaciones red a red (puerta a puerta, gateway a gateway) en el que la seguridad del tráfico de paquetes es proporcionada a varias máquinas (incluso a toda la red de área local) por un único nodo.

Trabaja con los protocolos
Autenticacion de Cabecera (AH- Autentication Header): Permite que las partes que se comunican mediante IP verifiquen que los datos no se hallan modificado durante la transmision, y que proceden de la fuente original de la informacion. El AH proporciona integridad de datos sin conexion, la autenticacion de los datos , y brinda proteccion contra ataques de repeticion. El AH añade un bloque de codigo al paquete de datos que es el resultado de una funcion de "troceo" (trash) aplicada a todo el paquete. Hay 2 campos importantes en el encabezamiento AH:

*El indice de parametros de seguridad (SPI) especifica el dispositivo receptor, que grupo de protocolos de seguridad esta usando el emisor.
*El numero de secuencia se usa para impedir ataques de repeticion, al impedir el procesamiento multiple de un paquete.

Encapsulamiento de seguridad en la carga de datos (ESP): Encripta la informacion para evitar que sea monitoreada por una entidad que no sea digna de confianza. Esta tambien puede usarse para autenticacion. Los esquemas de encripcion ESP mas usados son los siguientes:
-Date Encryption Standard (DES): Usa encriptacion de 56 bits.
-Triple DES (3DES): Usa una encriptacion de 168 bits pasando los datos a traves del algoritmo DES tres veces.

Diferencias entre AH y ESP

*La autenticacion AH y ESP se diferencian en que ESP no protege el encabezamiento IP que precede al encabezamiento ESP.
*La autenticacion ESP puede usarse en vez de la AH para reducir el procesamiento de paquetes, y ejecuta una operacion de "transformacion " en vez de dos pasos. Tambien impide los ataques de repeticion siguiendo el numero de la secuencia de forma muy parecida a la del AH, pero esto comprometeria la validez del encabezamiento. Hay dos tipos de modo tunel y ambos la informacion del encabezado original IP esta encriptada; la desventaja es que no opera a traves del NAT (traduccion de direccion de red). En el modo transporte, el encabezado IP original no esta encriptado y puede funcionar a traves del NAT.

Intercambio de llaves de Internet (IKE): ES una combinacion de "ISAKMP" y de "Oakley". El Internet Security Association and Key Management Protocol (ISAKMP) proporciona el marco para la autenticacion y el intercambio de claves. Utiliza Diffie-Hellman que permite el intercambio secreto de claves entre dos partes que no han tenido contacto previo, utilizando un canal inseguro, y de manera anónima (no autenticada).

Intercambio manual de claves
El intercambio manual es la forma mas facil de gestion de claves para un numero pequeño de sitios. Ambos extremos de la comunicacion IPSec deben configurarse manualmente con las claves
correspondientes.
Desventajas de una codificación manual:
-Es necesaria la intervencion manual para actualizar o cambiar las claves.
-Como el cambio manual de claves es por lo general poco frecuente, el atacante tiene mas tiempo para descifrarlas y descodificar datos.
-Hay una probabilidad de error en la configuración, dado que la misma clave debe configurarse en los dos extremos distintos del túnel IPSec.
-Si la persona con acceso a las claves se va, o deja de merecer confianza, es necesario efectuar cambios extensos de configuración.

-Las claves de la configuración deben protegerse de alguna manera contra ataques externos.

PAQUETE DE DATOS CON AH
PAQUETE DE DATOS CON ESP


Este articulo contiene terminos de la Wikipedia®