El Blog de Alex4

Netcat

2008-06-17T11:01:00.000-07:00

Navaja suiza de la seguridad de red.

Netcat es una utilidad imprescindible para todo profesional de la seguridad. Es denominada la navaja suiza de la seguridad de red" porque sirve para innumerables cosas. Permite a través de intérprete de comandos y con una sintaxis muy sencilla abrir puertos TCP/UDP en un host (quedando netcat a la escucha), asociar una shell a un puerto en concreto (para conectarse por ejemplo a MS-DOS o al intérprete bash de Linux remotamente) y forzar conexiones UDP/TCP (útil por ejemplo para realizar rastreos de puertos o realizar transferencias de archivos bit a bit entre dos equipos).

Escanear Puertos
Para escanear los puertos de una máquina hay que ejecutar:
# nc -z -v -w3

-z Escanear puertos.

-v Modo versobe. Si solo se pone una v, se mostraran los puertos abiertos de la maquina escaneada. Si se pone -vv, se mostraran todos los puertos escaneados, indicando para cada uno si esta abierto o cerrado.

Se debe introducir de que puerto a que puerto se quiere escanear. Ejemplo: 1-1024 (1 y 1024 tambien incluidos en el escaneo) Tambien se puede poner solo los puertos que se quieren escanear. Ejemplo: nc -z -v localhost 25 21 80 Ecanea solo estos puertos.

-w Especifica un tiempo para terminar. Con esta opcion le especificas un tiempo determinado para realizar conexiones.

Enlaces sobre Netcat.
Netcat La navaja suiza
Netcat Wikipedia
Netcat en Crysol

Nikto

2008-06-17T10:02:00.000-07:00

Nikto es una herramienta de Seguridad.

Nikto es un escáner de servidores de web que busca más de 2000 archivos/CGIs potencialmente peligrosos y problemas en más de 200 servidores. Utiliza la biblioteca LibWhisker pero generalmente es actualizado más frecuentemente que el propio Whisker.

Nikto es un escaneador para servidores web realizado en lenguaje Perl, obviamente tiene licencia Open Source GPL y realiza todo tipo de pruebas de ataques y vulnerabilidades por medio de un extensible sistema de plugins.

Nikto es un excelente punto de partida para comprobar la seguridad del servidor web a nuestro cargo, que funciona tanto en Linux como en Windows y tiene una gran base de datos de ataques (CGI y otros) en 230 tipos de servidores distintos.

Este programa busca fallos en diferentes categorías, algunas de estas son:
1.Problemas de configuración.
2.Archivos por defecto y ejemplos
3.Archivos y scripts inseguros
4.Versiones desactualizadas de productos.

Instalacion de Nikto
# apt-get install nikto

Para mas informacion sobre nikto mira este enlace.

Para escanear un equipo hacemos lo siguiente:
# nikto -h 10.3.16.x

Acontinuacion una imagen de un equipo escaneado.

Aca nos muestra algunas de las vulnerabilidades que tiene nuestro Sistema Operativo Linux, el cual tenemos instalado y el que escaneamos.

Enlace de pagina donde explican herramientas para ver Vulnerabilidades.

NESSUS

2008-06-17T08:21:00.000-07:00

Nesus es una herramienta para informes de vulnerabilidades.

Nessus es un programa de escaneo de vulnerabilidades en varios Sistemas Operativos. Y consta de un cliente y un servidor, se pueden instalar en las mismas maquinas por simplicidad. Con nessus se pueden grabar informes donde hay enlaces que explican que tipo de vulnerabilidad encontrada es, como "exportarla" y como "evitarla".

Nessus es un escáner de seguridad remoto para Linux, BSD, Solaris, Windows y Otros Unix. Está basado en plug-in(s), tiene una interfaz basada en GTK, y realiza más de 1200 pruebas de seguridad remotas. Permite generar reportes en HTML, XML, LaTeX, y texto ASCII; también sugiere soluciones para los problemas de seguridad.

Instalacion de Nessus
# apt-get install nessus -->Nessus cliente
# apt-get install nessusd -->Nessus demonio

Para configurar Nessus como demonio indicando un puerto hacemos lo siguiente:
# nessusd p 1241 a 10.3.16.x -->Puerto y direccion IP por la cual se comunicara.

Agregar un usuario:
# nessus-adduser

Link de otra instalacion.

Al ejecutarlo desde Aplicaciones, Internet, Nessus nos aparece una consola como esta:
Nos logueamos. La primera vez que nos logueamos nos muestra esto:
Nos muestra un certificado. Lo aceptamos
Cuando estemos logueados nos mostrara los plugins que tiene nessus.
Unas de las imagenes sobre las caracteristicas de Nessus.

Para escanear un equipo hacemos lo siguiente:
-->Indicamos la direccion IP
-->Iniciamos en escaner
Al iniciar el escaner debemos esperar que se realice todo el escaner y nos arroje los resultados.
Cuando termine mostrara el reporte asi:
Este documento fue desarrollado con la ayuda de Cristian Ceballos.

Nmap

2008-06-17T07:02:00.000-07:00

Nmap es una herramienta de exploracion de red y escaner de seguridad.

Nmap ha sido diseñado para permitir a administradores de sistemas y gente curiosa en general el
escaneo de grandes redes para determinar que servidores se encuentran activos y que servicios ofrecen. Nmap es compatible con un gran numero de tecnicas de escaneo como: UDP, TCP connect,TCP SYN (half open), ftp proxy (bounce attack), Reverseident, ICMP (ping sweep), FIN, ACK sweep, Xmas Tree, SYNsweep, and Null scan. Es de código abierto.

Nmap proporciona tambien caracteristicas avanzadas como la deteccion remota del sistema operativo por medio de huellas TCP/IP , escaneo tipo stealth (oculto), retraso dinamico y calculos de retransmision, escaneo paralelo, deteccion de servidores inactivos pormedio de pings paralelos, escaneo con señuelos, deteccion de filtrado de puertos, escaneo por fragmentacion y especificacion flexible de destino y puerto. Se han hecho grandes esfuerzos encaminados a proporcionar un rendimiento decente para usuarios normales (no root). Por desgracia, muchos de los interfaces criticos del kernel (tales como los raw sockets) requieren privilegios de root. Deberia ejecutarse nmap como root siempre que sea posible.

Instalar Nmap en Linux
# apt-get install nmap

Uso de nmap
nmap [Tipo de Scan] [Opciones] victima(s) o red_victima

Opciones de Nmap

-h Muestar la ayuda.

-sP ping "scan". Este es utilizado solo para saber si determinado(s) host(s) están en ese momento vivos o conectados, normalmente esto lo realiza nmap enviado paquetes a el puerto 80 de un host pero si este tiene un filtrado de ese puerto podrás ser detectado de todas formas.

-sU Es un Scan de Puertos abiertos con protocolo UDP, solo root puede ajecutarlo.

-sS Ping oculto, entrega solo la respuesta final para dejar menos rejistros.

-b ftp "bounce attack" utlizado para ver si se puede utilizar un host para pasar una conexión ftp a través de el y no hacer el ftp a otro host desde tu maquina directamente.

-f Utiliza pequeños paquetes fragmentados para el SYN , Xmas , FIN o barrido nulo.

-P0 No hace "ping" al host en cuestion , necesario para el scan o "barrido" a www.microsoft.com y otros con sistemas de deteccion de ataques sensibles asi como los .gov .mil etc.
-PT Utiliza el Ping de tcp para determinar si un host esta conectado para el caso de -sT y -sP esta opcion aunque no es suministrada va implicita en el metodo.

-PT21 Utiliza el Ping tcp para hacer prueba de coneccion a el puerto 21 o a cualquier otro especificado despues del -PT ejm: -PT110 .
-PI Utiliza paquetes icmp para determinar que hosts estan conectados y es especial si deseas hacer un scan a travez de un firewall.

-PB Hace la misma funcion que el barrido (scan) TCP y ICMP, se le puede especificar un puerto destino despues de la "B".

-PS Utiliza el TCP SYN sweep en lugar de el valor por defecto que es el ack sweep utilizado en el Ping TCP.

-O Utiliza el TCP/IP "fingerprinting" para determinar que Sistema operativo esta corriendo un host remoto.
-p o puertos: ejm: '-p 23' solo intenta hacer conexión con el(los) host(s) en el puerto especificado para extraer de allí la información necesaria para la operación de scan. Otros
ejemplos '-p 20-100,31330-' hace un barrido entre los puertos 20-30 y entre 31330-65535. por defecto el barrido es entre los puertos 1 y el 1024 mas los que parezcan en el /etc/services.

-F Barrido Rapido a "Fast Scan" solo examina los puertos que estan en el /etc/services.

-I Toma informacion de quien es el dueño del proceso que se esta ejecutando pero solo se puede ejecutar con el -sT por lo cual deja una traza enorme en el log de la victima por ello debe evitar
utilizar esta opcion.

-n no hace converciones DNS para hacer el -sP mas rapido.

-R Intenta Convertir utilizando DNS (o sea del ip te muestra el hostname ejm: le das 127.0.0.1 y te muestra que es localhost.localdomain).

-o guarda el mismo resultado mostrado por pantalla en un archivo en formato entendible para los humanos.

-m lo mismo que lo anterior pero la salida es en un formato de maquina.
-i Lee las IPs de las victimas desde un archivo.

-g Indica que puerto local se utilizara para enviar los paquetes para el scan.

-S Si quieres especificar una IP para que sea la fuente del scan, ideal para hacer "Scan Spoofing" o encubrir tu scan.

-v Verbose. Muestra mas Informacion.

-V Imprime la version de nmap y sale.

-e . Enviar los paquetes atravez de esta interface en tu host pueder ser eth0,ppp0,ppp1 etc.

Nota: si no se le suminstra ningun tipo de scan se asume por defecto sT.

Para mas informacion sobre el uso de Nmap visita estos sitios:
--Manual Nmap
--Manual de Nmap
--Nmap a Fondo

Conexion VPN Gateway-Gateway

2008-06-04T15:28:00.000-07:00

Mira las configuraciones relacionadas en este blog con este mismo tema desde cero, en los siguientes links:
-->Configuracion Firewall
-->Conexion VPN Firewall-Cliente desde Windows

Esta configuracion sera la misma para los dos Firewall (gateway) para poder que se comuniquen. Pero ya las direcciones IP cambiaran depediendo de donde se genere la configuracion. Es de logica que si yo tengo esta IP 10.3.9.175, el firewall del otro extremo de la comunicacion la tendra que poner y nosotros pondremos la de el 10.3.9.177, para poder comunicarnos y asi con todos espacios de la configuracion.

Las imagenes estan explicadas.

-------------------------------------------------------------------------------------------------

-------------------------------------------------------------------------------------------------
Esto es para agregar una nueva conexion de Gateway a Gateway desde el navegador asi:
-->VPN
-->VPN Conections
-->New (nuevo)
-->Nos aparece esto.
-------------------------------------------------------------------------------------------------

Conexion VPN Firewall-Cliente desde Windows

2008-06-04T10:05:00.000-07:00

Mira las configuraciones relacionadas en este blog con este mismo tema desde cero, en los siguientes links:
-->Configuracion Firewall
-->Conexion VPN Gateway-Gateway

Hare un pequeño paso a paso de como configurar una conexion VPN de Cliente a LAN.

Configuracion del Firewall
-->Para agregar esta configuracion accedemos por el navegador, VPN, VPN Mode. En la imagen esta esplicado cada campo.
-->Despues en VPN conections:

Configuracion del Cliente
Para empezar desde el equipo cliente el que accedera a la conexion con un ususario lo configuraremos asi:
-->Inicio
-->Panel de control
-->Conexiones de red
-->Clic en Crear una conexion nueva. Ahi nos aparece una ventana como esta.
-->Next
-->Como nos conectaremos a una red privada de una LAN le daremos esta opcion: Conectarse a mi red de trabajo (Usando acceso telefonico o red privada virtual) Ejemplo: para trabajar desde la casa, oficina de campo u otra ubicacion.
-->Next
-->Conexion de Acceso telefonico o conexion de Red privada virtual. Para este caso escogemos VPN.
-->Next
-->Nombre de la conexion. Puede ser cualquiera o el indicado para reconocerla.
-->Next
-->Ingresamos la direccion IP publica del Gateway. Como nos conectaremos a un Firewall pondremos esta direccion IP 10.3.9.175 que es la externa.

-->Next
-->Escojemos los usuarios que accederan a esta conexion como solo es uno, ponemos: Una sola conexion para mi.

-->Next
-->Finish y se aplicaran los cambios.

-->Nos creara un icono como este:-->Clic derecho en la nueva conexion
-->Propiedades
-->Configuraremos la clave precompartida. Tambien configurada en el Firewall, deben ser iguales para que la comunicacion se pueda establecer.
-->Security (Seguridad)
-->Configuracion de IPsec (IPsec settings)
-->Activamos el chulito e ingresamos la clave.
-->Ok
-->Ok

Conectarse a la VPN
-->Doble clic sobre la nueva conexion
-->Ingresamos el Usuario y el Password.
-->Conectar.

Las imagenes que pongo acontinuacion son unas que muestra el proceso de la conexion con el firewall .
-->Conectando con 10.3.9.175
-->Registrando el computador en la Red
-->Autenticando.

Una forma de mirar si la conexion esta establecida puede ser, dándole doble clic a esa conexion. Ahi nos aparece una ventana clic en la pestaña de "Detalles" y nos aparece lo siguiente:

Configuracion Firewall

2008-06-03T08:32:00.000-07:00

Firewall (Cortafuegos): Es un elemento de hardware o software utilizado en una red de computadoras para controlar las comunicaciones, permitiéndolas o prohibiéndolas según las politicas de red que haya definido la organización responsable de la red. La ubicación habitual de un cortafuegos es el punto de conexión de la red interna de la organización con la red exterior, que normalmente es Internet; de este modo se protege la red interna de intentos de acceso no autorizados desde Internet, que puedan aprovechar vulnerabilidades de los sistemas de la red interna.

Es comun conectar el cortafuegos a una tercera red, llamada zona desmilitarizada o DMZ, en la que se ubican los servidores (http, ftp, etc...) de la organización que deben permanecer accesibles desde la red exterior.
En este ejemplo configuraremos un OfficeConnect VPN Firewall de marca 3com. En la practica que desarrollamos el firewall trae:
-->Un CD
-->Manuales
-->Adaptador
-->Cable UTP Directo
-->Base (En caso de tener mas disposiitivos)

Y posee varias caracterisicas:
-->Filtrado de paquetes (Stateful Packet Inspection)
-->VPN (LAN to LAN, LAN to Client)
-->Proxy cache (Filtro de contenidos)
-->Traffic shapping
-->Publicacion de servicios (DNAT)

Crearemos una pequeña red de 3 computadores que estaran en el rango 192.168.20.0, la direccion IP interna del firewall es 192.168.20.1 y la externa 10.3.9.175.
Para lograr la practica se nos exigieron varios ejercicios:
-->Darle conexion a la red interna.
-->Publicaion de servicios (DMZ)
-->Respuesta de ping (Interna-Externa)
-->Control de Acceso.
-->VPN (LAN to LAN, Cliente to LAN)

1° Leemos los manuales y miramos el significado de cada led (bombillos) que posee el Firewall.
2° Ahora como es primera vez que trabajamos con el Firewall no sabemos que dirección IP tiene, por eso debemos introducir el Cd y nos aparecerá el asistente de instalación el cual nos da varias opciones. Escojeremos la segunda opción.
Ahí nos aparece otra ventana en la cual especificaremos la tarjeta de red que se utilizara. En caso de tener dos.
Aca nos mostrara la dirección ip del dispositivo.

El progreso de la "instalación"
Finalizar y nos abre un navegador con la "consola" de administración.
3º Para poder configurar el Firewall debemos estar en el mismo rango de este y en caso de tener un proxy debemos decir en el navegador que no utilice proxy para la direccion IP del Firewall. Asi tendremos acceso al Frewall. La primera imagen que nos muestra es la de Autenticación.

Configuracion de Firewall 3com

Para mirar otras configuraciones relacionadas con este tema, en este mismo blog. Visita los siguientes links.
-->Conexion VPN Firewall-Cliente desde Windows
-->Conexion VPN Gateway-Gateway

SecurityTube Beta

2008-06-02T17:49:00.000-07:00

Mirando en la pagina de DragonJar me encontré con esta noticia que me gustaría compartir con todos mis compañeros, porque en la etapa de estudio en la que estamos esto nos puede servir.

SecurityTube es un nuevo sitio web parecido a YouTube en el que podemos encontrar videos de seguridad de la información.

Permite una fácil integración en nuestras páginas web, blogs, etc. Ofreciendo una pequeña pestaña llamada “Embed Code”, la cual permite generar el código necesario para enlazar un vídeo en nuestra página web.

SecurityTube esta en fase beta la cual se clasifica en cuatro categorias:

1. Coding - Estos videos se centran en la enseñanza de las bases de programación.
2. Tools - Se centra principalmente en entender el uso y operación de la herramientas.
3. Basics - Fundamentación sobre diversos temas (para novatos).
4. Fun - Un poco más de diversión.

Como se hace el logo de Google???

2008-05-23T17:55:00.000-07:00

Aca les dejo un pequeño video de como es el proceso para hacer uno de los logos del buscador mas conocido en el mundo, pues se trata de Google. Espero les guste. jejeje

IPsec con racoon

2008-05-22T19:22:00.000-07:00

El soporte de IPsec está normalmente implementado en el núcleo con la gestión de claves y negociación de ISAKMP/IKE realizada en espacio de usuario. Las implementaciones de IPsec existentes suelen incluir ambas funcionalidades. Sin embargo, como hay un interfaz estándar para la gestión de claves, es posible controlar una pila IPsec de núcleo utilizando las herramientas de gestión de claves de una implementación distinta.

En este blog ahi otros link sobre este tema:
--Que es IPsec??
--Configuracion IPsec Linux-Linux

Para poder hacer una comunicacion de Windows a Linux o Linux a Windows utilizando IPsec, debemos instalasr RACOON.

Para intalarlo procedemos hacer lo siguiente:
--> # atp-get install racoon.

Ahi nos mostrara una imagen como esta.

Le indicamos el modo de configuracion para el demonio IKE que es de forma directa. Al terminar de instalar racoon nos debio crear un directorio en /etc/ llamado racoon (/etc/racoon) en este directorio ahi unos archivos psk.txt, racoon.conf, racoon-tool.conf que seran los que configuraremos.

*Editamos en archivo psk.txt, es recomendable comentar todas las lineas por default y agregar las nuestras con la nueva configuracion:

# Pv4/v6 addresses
# 10.160.94.3 mekmitasdigoat
# 172.16.1.133 0x12345678
# 194.100.55.1 whatcertificatereally
# 3ffe:501:410:ffff:200:86ff:fe05:80fa mekmitasdigoat
# 3ffe:501:410:ffff:210:4bff:fea2:8baa mekmitasdigoat
# USER_FQDN
# foo@kame.net mekmitasdigoat
# FQDN
foo.kame.net hoge -->No se comenta.
# Direcciones IPv4
192.168.1.1 clave pre compartida simple
192.168.1.2 "ana-alex41pqow05";
# USER_FQDN
alexa@misena.edu.co Esta es una clave pre compartida para una dirección de correo

# FQDN

*Editamos el archivo racoon.conf
# pico /etc/racoon/racoon.conf

Contenido de este archivo.

# # Please look in /usr/share/doc/racoon/examples for # examples that come with the source. # # Please read racoon.conf(5) for details, and alsoread setkey(8). # # # Also read the Linux IPSEC Howto up at # http://www.ipsec-howto.org/t1.html # path pre_shared_key "/etc/racoon/psk.txt"; -->Descomentamos esta linea
path certificate "/etc/racoon/certs"; -->Descomentamos esta linea

Desde aqui empieza la configuracion de los datos del equipo y las claves. etc

remote 10.3.16.101 {
exchange_mode main,aggressive;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group modp1024;
}
generate_policy off;
}

sainfo address 10.3.16.69[any] any address 10.3.16.101[any] any {
pfs_group modp768;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}

Por ahora no configuaremos el archivo de racoon-tools.cof

*Ahora reiniciamos racoon

# /etc/init.d/racoon restart

Con este comando podemos probar si nuestra configuracion esta buena.
# tcpdump -i eth1 src host 10.3.16.69 or dst host 10.3.16.69 -->IP de mi equipo

En el momento de que el otro equipo que configuramos igual, nos haga ping nos debe arrojar una informacion como esta.

En la imagen anterior podemos observar las fases de establecimiento de la comunicación entre los dos equipos con la configuración de racoon, como es el procedimiento para el intercambio de llaves y que estamos utilizando el protocolo isakmp.

Configuracion de IPsec Windows-Windows

2008-05-22T16:14:00.000-07:00

En entradas anteriores a este blolg, se explico que es IPsec por eso no lo explicare ahora y empezare rapido con la configuracion. Para los que no la han visto mira este link: Ques es IPsec ??.

Esta politica sera creada y aplicada, para que en el momento de hacer un PING se ejecute utilizando IPsec y haga todo el procedimiento de negociacion.

Para instalar ipsec en windows debemos abrir una consola de administracion:
-->Inicio
-->Ejecutar mmc

Al darle mmc nos aparece una consola asi:
Ahora para poder agregat las funsiones de IPsec le daremos en:
-->Archivo (File)
-->Agregar o quitar complemento (Add/Remove span-in)
-->Agregar (Add)
-->Para monitorear IPsec afregamos IP Security Monitor.
-->Y tambien agregamos el Administrador de las directivas de seguridad IP (IP security Policy Management)
Al agregar esta opcion nos aparecera una ventana donde nos pregunta que si usaremos IPsec en el computador local o en Directorio Activo.
-->Computador Local (Computer Local)
-->Finish
Nos quedara algo asi:
Para empezar a crear nuestras reglas hacemos lo siguiente:
-->Clic en IP Security Polices on Local Computer.
-->En la parte derecha de esa opcion le damos clic derecho, Crear una politica de seguridad IP.

Al hacer esto nos aparece un aciste de instalacion para la nueva politica:
-->Siguiente
-->Esta es para ponerle el nombre a la politica y la descripcion.
-->Siguiente
-->Activamos que por defecto obtengamos una respuesta de esta politica al ser aplicada.
-->Siguiente
-->Como aplicaremos esta politica con una clave precompartida (sena) la digitaremos en esta opcion. Esta clave la debe tener igual configurada el equipo con el que se comunicara, porque de lo contrario no dara la comunicacion.
-->Siguiente
-->Finalizar y editar las opciones de la politica generada.

Al editarlas nos aparecen otras ventanas de configuracion. Como estamos haciendo una dependiendo de las necesidades que tenemos crearemos unas personalizadas.
-->Agregar
-->Siguiente

-->Al utilizar esta regla para cualquier conexion de red no ahi necesidad de crear un tunel, porque puede que la direccion IP del receptor cambie frecuentemente y no tenga una especificada.
-->Siguiente
-->Cualquier conexion de red o PING que hagamos, se le aplicara la politica.
-->Siguiente
-->Agregar una lista de Filtrado.
-->Agregar un filtro.
-->Siguiente
-->Hacemos una breve descripcion de l politica, por si tenemos varias sea facil reconocerla.
-->Siguiente
-->El trafico se iniciara desde mi direccion IP.
-->Siguiente
-->Direccion destino que sera cualquier IP en la red.
-->Siguiente
-->El protocolo. Como es una politica para que se aplique al mometo de hacer pings le daremos el protocolo ICMP.
-->Siguiente
-->Finalizar y editar propiedades.
-->Aca podremos cambiar las reglas u opcines especificadas ateriormente. En caso de alguna correcion.
-->En caso de escojer un protocolo y le podamos especificar el puerto. Lo cambiamos por aca.
-->Listo (OK)
Regresamos a las opciones de configuracion anterior.
-->Seleccionamos el fltrado de lista que acabamos de crear.
-->Siguiente
-->Agregar una accion de filtrado
-->Siguiente
-->Siguiente
-->Esta sera la respuesta de la regla del ping.
-->Siguiente
-->Negociar la seguridad de la politica.
-->Siguiente
-->Aca ponemos que la comunicacion solo sea efectuada con computadores que tengan una regla como esta o que tenga IPsec funsionando.
-->Siguiente
-->Trafico de seguridad IP. Hacemos uno personalizado.

-->Escogemos el algoritmo de encriptacion y el Hash que utilizaremos para la integridad.
-->Listo
-->Finalizar
-->Listo
-->Escogemos la regla de accion de filtrado que acabomos de crear (Respuesta ping)
-->Siguiente
-->Digitamos de nuevo la clave precompartida.
-->Siguiente
-->Finalizar.
La forma mas facil para mirar si nuestra regla si se aplica es haciendo un ping al equipo del otro extremo, que esta configurado de esta misma forma y nos debe mostrar lo siguiente.
En una consola CMD o simbolo del sistema realizamos el ping:
ping 10.3.9.143
Solo se puede asignar una regla a la vez:
-->Clic derecho sobre la regla que deseamos.
-->Asignar (Assign)
Para desasignarla es algo parecido:
-->Clic derecho sobre la regla que desasignaremos.
-->Desasignar (Un-assign)

Realizamos varias reglas una para trafico ICMP, HTTP, FTP y para carpetas compartidas SMB
y nos quedo algo asi. En este ejemplo solo se explico una, pero las demas son casi lo mismo. Solo debemos cambiar el protocolo y agregar el puerto por el que trabaje dicho servicio.

La ultima imagen tomada con todas las reglas hechas queda asi:

Video Interesante

2008-05-21T13:43:00.000-07:00

Me he encontrado un super video que quiero compartir con los lectores de mi blog. Al ver este video me doy de cuenta que la tecnologia esta avanzando mas de lo que yo creí y que quiero uno de los que exponen en el video. El único problema es que el audio es en Ingles, pero de todas formas aquí les dejo.

La noticia original de donde la leí es así:

Lo nuevo en Tecnología Multimedia: Surface

Muy notables avances en informática nos esperan en los próximos meses, sin duda los más grandes beneficios se verán reflejados en los programas de diseño grafico, web y todo lo relacionado con la Multimedia y desde luego estas aplicadas a la Educación, vean el siguiente vídeo para que se den una probadita de lo que el corporativo Microsoft nos tiene preparado ya en puerta con la denominada tecnología Surface.

Tomado de comunicamedia.blogspot.com

Configuracion de IPSec Linux-Linux

2008-05-21T05:41:00.000-07:00

Para empezar instalamos el paquete de IPSec:
# apt-get install ipsec-tools

La configuracion estara en /etc/ipsec-tools.conf el cual contiene lo siguiente:
#!/usr/sbin/setkey -f

# NOTE: Do not use this file if you use racoon with racoon-tool

# utility. racoon-tool will setup SAs and SPDs automatically using
# /etc/racoon/racoon-tool.conf configuration.
## Flush the SAD and SPD

# flush;
# spdflush;

## Some sample SPDs for use racoon
# spdadd 10.10.100.1 10.10.100.2 any -P out ipsec
# esp/transport//require;
#
# spdadd 10.10.100.2 10.10.100.1 any -P in ipsec
# esp/transport//require;

Para configurar nuestro IPSec configuraremos dicho (/etc/ipsec-tools.conf)archivo asi:
# pico ipsec-tools.conf

Cuando tengamos editado el archivo descomentamos estas dos lineas:

flush;
spdflush;

Solo quitamos el signo # y listo.

Ya empezamos a poner nuestra configuracion. Agregaremos esto dos parrafos con la direcion ip del equipo con el que nos comunicaremos (10.3.16.101) la del equipo local sera (10.3.16.69) la clave compartida que utilizaremos sera la que esta entre “alexandra$analz-” que es una clave MD5 de 128 bits (16 caracteres) en la segunda linea las direcciones ip se hubicaran al contrario, -A es protocolo AH para Autenticar. Este es un ejemplo para ping.

Para configurarlo con AH (Autenticacion "-A")
CONFIGURACION DEL EQUIPO LOCAL

## Some sample SPDs for use ra con

add 10.3.16.69 10.3.16.101 ah 0x300 -A hmac-md5 "alexandra$analz-";
add 10.3.16.101 10.3.16.69 ah 0x200 -A hmac-md5 "alexandra$analz-";

Como utilizaremos ah las politicas seran asi:

# Políticas de seguridad

spdadd 10.3.16.69 10.3.16.101 any -P out ipsec
ah/transport//require;
spdadd 10.3.16.101 10.3.16.69 any -P in ipsec
ah/transport//require;

CONFIGURACION DEL OTRO EQUIPO DE LA COMUNICACION

add 10.3.16.101 10.3.16.69 ah 0x200 -A hmac-md5 "alexandra$analz-";
add 10.3.16.69 10.3.16.101 ah 0x300 -A hmac-md5 "alexandra$analz-";

# Políticas de seguridad
spdadd 10.3.16.101 10.3.16.69 any -P out ipsec
ah/transport//require;
spdadd 10.3.16.69 10.3.16.101 any -P in ipsec
ah/transport//require;

Recargaremos el IPSec de la siguiente forma:
# setkey -f ipsec-tools.conf

En el momento de mirar el ping NO nos mostraba la respuesta, le dimos el comando tcpdump -i eth1 quien nos mostraba la peticion de ping de la otra maquina (10.3.16.101) lo malo era que la maquina local (10.3.16.69) no contestaba.

Ahi le dimos el comando
# setkey -D

EL cual mostraba lo siuiente:

10.3.16.101 10.3.16.69
ah mode=transport spi=512(0x00000200) reqid=0(0x00000000)
A: hmac-md5 616c6578 616e6472 6124616e 616c7a2d
seq=0x00000000 replay=0 flags=0x00000000 state=mature
created: May 22 03:03:28 2008 current: May 22 04:20:28 2008
diff: 4620(s) hard: 0(s) soft: 0(s)
last: May 22 03:03:28 2008 hard: 0(s) soft: 0(s)
current: 142400(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 2225 hard: 0 soft: 0
sadb_seq=1 pid=7322 refcnt=0
10.3.16.69 10.3.16.101
ah mode=transport spi=768(0x00000300) reqid=0(0x00000000)
A: hmac-md5 616c6578 616e6472 6124616e 616c7a2d
seq=0x00000000 replay=0 flags=0x00000000 state=mature
created: May 22 03:03:28 2008 current: May 22 04:20:28 2008
diff: 4620(s) hard: 0(s) soft: 0(s)
last: May 22 03:03:28 2008 hard: 0(s) soft: 0(s)
current: 240300(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 2225 hard: 0 soft: 0
sadb_seq=0 pid=7322 refcnt=0

Como nuestro equipos estaban muy cerca comprobamos, que teniamos una parte de la configuracion mala y era que teniamos el numero xxxx300 cambiado por el xxxx200 asi “spi=512(0x00000300) spi=768(0x00000200)”

10.3.16.101 10.3.16.69
ah mode=transport spi=512(0x00000300) reqid=0(0x00000000)

10.3.16.69 10.3.16.101
ah mode=transport spi=768(0x00000200) reqid=0(0x00000000)

Para mirar el ping que nos haga la otra maquina le damos:
# tcpdump -i eth1 --> (ethX) Tarjeta de red por la que tenemos nuestra conexión establecida.

Para configuraalo con ESP (Encriptacion "-E")
## Some sample SPDs for use racoon
add 10.3.16.69 10.3.16.101 esp 0x300 -E 3des-cbc "qazxswedcvfrtgbnhyujmiko";
add 10.3.16.101 10.3.16.69 esp 0x200 -E 3des-cbc "qazxswedcvfrtgbnhyujmiko";

# Políticas de seguridad ESP
spdadd 10.3.16.69 10.3.16.101 any -P out ipsec
esp/transport//require;
spdadd 10.3.16.101 10.3.16.69 any -P in ipsec
esp/transport//require;

Pagina web LinuxTube

2008-05-20T18:06:00.000-07:00

Acabo de descubrir una pagina muy buena, nose hace cuanto exista pero la realidad apenas la descubri. Esta pagina es muy interesante para las personas Linuxeras y que ademas ven videos en YouTube, para ellos ha llegado Linux-Tube en la cual encontraremos vídeos de tutoriales de como instalar una aplicación, demostraciones de aplicaciones, comparaciones entre linux, Mac y Windows, etc...
Sin duda es una buena fuente de información para aprender a usar, configurar y conocer mas sobre linux, ya que hay vídeos de diversas distribuciones de Linux.

Que es IPsec ???

2008-05-16T07:57:00.000-07:00

El crecimiento masivo de Internet y muchas mas redes de comunicacion son cada vez mas importantes en nuestras vidas diarias, desafortunadamente con esta dependencia han aumentado los ataques por parte de los depredadores de redes (Hackers).
Las formas de ataque descubiertas, la disponibilidad y distribucion de herramientas de ataques informaticos , asi como fallas en los programas de computadoras han provocado que las redes resulten cada vez mas vulnerables (expuestas).

Internet Protocol Security (IPsec): Es un conjunto de protocolos cuya funcion es asegurar las comunidades sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un conjuto de datos. IPsec tambien incluye protocolos para el establecimiento de claves de cifrado.

IPsec esta implementado por un conjunto de protocolos criptograficos para asegurar el flujo de paquetes, garantizar la autenticacion mutua y establecer parametros criptograficos.
Tambien cuenta con un conjunto servicios:

-->Autenticacion mutua: IPsec permite el intercambio y la comprobación de identidades sin exponer la información a la interpretación de un atacante. La comprobación mutua (autenticación) se utiliza para establecer la confianza entre los sistemas que se comunican. Sólo los sistemas de confianza se pueden comunicar entre sí. Los usuarios no tienen que estar en el mismo dominio para comunicar con la protección de IPSec. Pueden estar en cualquier dominio de confianza de la empresa. La comunicación se cifra, lo que dificulta la identificación e interpretación de la información.

-->Anti-reply: Asegura que el mensaje transmitido nose puede replicar por que dicho mensaje contiene un numero en secuencia (Secuense number) el cual nose puede repetir.

-->Confidencialidad: Es la propiedad de un documento o mensaje que únicamente está autorizado para ser leído o entendido por algunas personas o entidades. Un documento o mensaje es confidencial si éste sólo está autorizado a ser leído o entendido por un destinatario designado.

-->Integridad: Asegura que los datos trasmitidos no seran modificados por terceras personas.

-->Control de acceso: Se prodran aplicar reglas de seguridad que definen el nivel de seguridad deseado, para acceder alguna informacion.

El conjunto de protocolos de seguridad IP (IPsec) del IETF, provee seguridad para el trafico IP en la capa de red.

Funciona en dos modos:

Modo Transporte: proporcionar seguridad de (extremo a extremo) del tráfico de paquetes, en el que los ordenadores de los extremos finales realizan el procesado de seguridad. Sólo la carga útil (los datos que se transfieren) del paquete IP es cifrada y/o autenticada. El enrutamiento permanece intacto, ya que no se modifica ni se cifra la cabecera IP; sin embargo, cuando se utiliza la cabecera de autenticación (AH), las direcciones IP no pueden ser, ya que eso invalidaría el hash. Las capas de transporte y aplicación están siempre aseguradas por un hash, de forma que no pueden ser modificadas de ninguna manera (por ejemplo traduciendo los números de puerto TCP y UDP).

Modo Tunel: Todo el paquete IP (datos más cabeceras del mensaje) es cifrado y/o autenticado. Debe ser entonces encapsulado en un nuevo paquete IP para que funcione el enrutamiento. El modo túnel se utiliza para comunicaciones red a red (puerta a puerta, gateway a gateway) en el que la seguridad del tráfico de paquetes es proporcionada a varias máquinas (incluso a toda la red de área local) por un único nodo.

Trabaja con los protocolos
Autenticacion de Cabecera (AH- Autentication Header): Permite que las partes que se comunican mediante IP verifiquen que los datos no se hallan modificado durante la transmision, y que proceden de la fuente original de la informacion. El AH proporciona integridad de datos sin conexion, la autenticacion de los datos , y brinda proteccion contra ataques de repeticion. El AH añade un bloque de codigo al paquete de datos que es el resultado de una funcion de "troceo" (trash) aplicada a todo el paquete. Hay 2 campos importantes en el encabezamiento AH:

*El indice de parametros de seguridad (SPI) especifica el dispositivo receptor, que grupo de protocolos de seguridad esta usando el emisor.
*El numero de secuencia se usa para impedir ataques de repeticion, al impedir el procesamiento multiple de un paquete.

Encapsulamiento de seguridad en la carga de datos (ESP): Encripta la informacion para evitar que sea monitoreada por una entidad que no sea digna de confianza. Esta tambien puede usarse para autenticacion. Los esquemas de encripcion ESP mas usados son los siguientes:
-Date Encryption Standard (DES): Usa encriptacion de 56 bits.
-Triple DES (3DES): Usa una encriptacion de 168 bits pasando los datos a traves del algoritmo DES tres veces.

Diferencias entre AH y ESP

*La autenticacion AH y ESP se diferencian en que ESP no protege el encabezamiento IP que precede al encabezamiento ESP.
*La autenticacion ESP puede usarse en vez de la AH para reducir el procesamiento de paquetes, y ejecuta una operacion de "transformacion " en vez de dos pasos. Tambien impide los ataques de repeticion siguiendo el numero de la secuencia de forma muy parecida a la del AH, pero esto comprometeria la validez del encabezamiento. Hay dos tipos de modo tunel y ambos la informacion del encabezado original IP esta encriptada; la desventaja es que no opera a traves del NAT (traduccion de direccion de red). En el modo transporte, el encabezado IP original no esta encriptado y puede funcionar a traves del NAT.

Intercambio de llaves de Internet (IKE): ES una combinacion de "ISAKMP" y de "Oakley". El Internet Security Association and Key Management Protocol (ISAKMP) proporciona el marco para la autenticacion y el intercambio de claves. Utiliza Diffie-Hellman que permite el intercambio secreto de claves entre dos partes que no han tenido contacto previo, utilizando un canal inseguro, y de manera anónima (no autenticada).

Intercambio manual de claves
El intercambio manual es la forma mas facil de gestion de claves para un numero pequeño de sitios. Ambos extremos de la comunicacion IPSec deben configurarse manualmente con las claves correspondientes.
Desventajas de una codificación manual:
-Es necesaria la intervencion manual para actualizar o cambiar las claves.
-Como el cambio manual de claves es por lo general poco frecuente, el atacante tiene mas tiempo para descifrarlas y descodificar datos.
-Hay una probabilidad de error en la configuración, dado que la misma clave debe configurarse en los dos extremos distintos del túnel IPSec.
-Si la persona con acceso a las claves se va, o deja de merecer confianza, es necesario efectuar cambios extensos de configuración.
-Las claves de la configuración deben protegerse de alguna manera contra ataques externos.

PAQUETE DE DATOS CON AH
PAQUETE DE DATOS CON ESP

Este articulo contiene terminos de la Wikipedia®

Secure Shell (SSH)

2008-05-15T06:14:00.000-07:00

Es el nombre de un protocolo y del programa que lo implementa y sirve para acceder a máquinas remotas a través de una red. Permite manejar por completo la Computadora mediante un interprete de comandos.

Además de la conexión a otras máquinas, SSH nos permite copiar datos de forma segura (tanto ficheros sueltos como simular sesiones FTP cifradas), gestionar claves RSA para no escribir claves al conectar a las máquinas y pasar los datos de cualquier otra aplicación por un canal seguro, tunelizado mediante SSH.

Al instalar ssh genera un par de llaves RSA y DSA las cuales se guardan en /etc/ssh/ssh_host_(dsa-rsa)_key.pub . En linux lo podemos instalar asi:
# apt-get install openssh

Cada servidor ssh tiene una huella digital única (fingerprint) generada al momento de la instalación. Este fingerprint identifica al servidor en específico.

Cuando nos conectamos por primera vez nos aparece algo asi:
# ssh sena@192.168.20.13 --> Comando para conectarnos
The authenticity of host '192.168.20.13 (192.168.20.13)' can't be established.
DSA key fingerprint is 3a:29:ac:4a:71:a8:bc:79:52:05:aa:bc:a5:a0:25:57. -->Fingerprint
Are you sure you want to continue connecting (yes/no)? yes -->Como nos comunicaremos por primera vez nos pregunta que si estamos seguros de continuar. advirtiendo que el equipo al que queremos conectarnos puede no ser el nuestro, es decir SE TIENE QUE ESTAR SEGURO QUE AL SERVIDOR LINUX QUE ME ESTOY CONECTANDO ES REALMENTE EL MIO y esto solo se logra conociendo previamente el fingerprint del servidor y tenerlo en una nota, o en un papel en la cartera o en un block de notas de la computadora de la casa u otra ubicación, como sea. Si por razones de trabajo u otras, se requiere acceder a un servidor de producción de forma remota es importante conocer el Fingerprint del servidor para estar seguro que no estén interceptando o suplantando.

Warning: Permanently added '192.168.20.13' (DSA) to the list of known hosts.
sena@192.168.20.13's password: -->Ingresamos el password del usuario sena
Linux sena-ubuntu 2.6.22-14-generic #1 SMP Sun Oct 14 23:05:12 GMT 2007 i686

The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
applicable law.
Last login: Thu Apr 24 12:46:11 2008
sena@sena-ubuntu:~$ -->Aqui miramos que estamos logeados en la maquina solicitada.

Peticion de Certificado en Windows

2008-05-14T04:32:00.000-07:00

Para generar una petición de certificado (CSR) en Windows desde (IIS) Internet Information Services y agregarlo a un sitio web hacemos lo siguiente:

-->Abrimos el IIS
-->Clic derecho en las propiedades de nuestro sitio web (Sencillo).
--> Aca podemos ver la configuracion de la direccion IP por la cual esta escuchando nuestro sitio web. Como tenemos dos tarjetas de red la pondremos a escuchar por cualquiera.
-->Vamos a la pestaña Directorio de Seguridad.
-->Comunicaciones seguras.
-->Clic en Servidor de Certificados.
-->Ahi nos abrira un asistente de configuracion.
-->Siguiente.
-->Epezamos con la peticion.
-->Crear un nuevo Certificado.
-->Siguiente.
-->Preparar la solicitud pero enviarlas mas tarde.
-->Siguiente.
-->Escogemos el nombre para nuestra peticion y la longitud (1024).
-->Siguiente.
-->Datos de la organizacion.
-->Siguiente.
-->Un nombre comun.
-->Siguiente.
-->Informacion Geografica.
-->Siguiente.
-->Ruta y nombre donde se guardara la peticion.
-->Siguiente.

-->Resumen de todos los cambio efectuados para la peticion.
-->Siguiente.
-->Finalizar

Ya quedo lista nuestra peticion de Certificado, ahora solo debemos enviar esta peticion a una Etidad Certificadora para que esta no la firme y asi poder instalarla en nuestro sitio web (https).
Algunos link en este mismo blog referentes a este tema:
--Entidad Certificadora en Windows 2003 Server
--Peticion de Certificado para Apache
--Peticion de Certificado desde un Browser

Como la instalamos en nuestro sitio web??
-->Le damos de nuevo en las propiedades del sitio web.
-->Directorio de Seguridad
-->Servidor de Certificado
-->Siguiente
-->Procesar una peticion de Certificado pendiente e instalarla.
-->Siguiente.
-->Ruta en la cual esta la Peticion Firmada.
-->Siguiente.
-->Puesrto por el cual tendra la conexion SSl (https)
-->Siguiente
-->Resumen del Certificado.
-->Finanlizar
Para ver el certificado ya instalado en nuestro sitio web hacemos lo siguiente:
-->Clic derecho en propiedades del sitio web
-->Directorio de Seguridad.
-->Ver Certificado
Y nos mostrara algo asi:

Miramos nuestro sitio web con y sin seguridad. Publicare algunas de las imagenes capturadas en el momento de las conexiones.

Peticion de Certificado para Apache

2008-05-13T09:32:00.000-07:00

El servidor HTTP Apache es un software (libre) servidor HTTP de código abierto para plataformas Unix, Windows, Macintosh y otras, que implementa el protocolo HTTP. Apache presenta entre otras características mensajes de error altamente configurables, bases de datos de autenticación y negociado de contenido, pero fue criticado por la falta de una interfaz gráfica que ayude en su configuración.

En este pequeño manual explicaremos brevemente como configurar apache de forma segura (https).

Primero instalamos el servicio web:
# apt-get install apache2

Instalamos el paquete openssl
# apt-get install openssl
Para la configuracion de nuestra pagina web (de lo que mostrara) es en /var/www/index.html Aca publicare un sencillo contenido de lo que contiene este archivo:

Ahora empezamos con la configuracion en los archivos del apache.
Para poder crear un sitio certificado bajo SSL (https) con apache. Para ello ahi que copiar los ficheros que nos firma la entidad y el certificado de la misma entidad en /etc/apache2/ssl si no disponen del directorio ssl, ahi que crearlo y solo sirve para guardar esto en algún lado y que apache lo vea. Al apache2 hay que indicarle que también escuche por el puerto 443 que es el del Secure Socket Layer (ssl) para eso se modifica el fichero /etc/apache2/ports.conf para que ponga:

Listen 80
Listen 443

Ahora tenemos que indicarle apache que soporte el ssl para ello instalamos el modulo ssl: # apt-get install libapache-mod-ssl
Una vez instalado esto le decimos a apache que cargue el modulo, tecleando lo siguiente :
a2enmod ssl

Y con esto ya solo nos queda configurar nuestro fichero de sites-availables donde tenemos nuestra configuración para poder acceder a nuestro site mediante https.
editamos el fichero /etc/apache2/sites-availables/default y creamos el virtual host adecuado para el puerto 443 :
Poniendo en el DocumentRoot el lugar donde tenemos nuestra pagina. Le indicamos que utilizamos certificados (SSLEngine on) y le decimos donde tiene que que leer el certificado (SSLCertificateFile) y la clave privada de este (SSLCertificateKeyFile).

Finalmente despues de guardar el fichero default nos vamos al /etc/apache2/sites-enabled y hacemos un vinculo simbólico al fichero default del sites-availables y le llamamos default-000
ln -s ../sites-availables/default default-000

Ahora solo nos queda generamo el certificado para que la entidad certificadora la firme:
# openssl req -new -nodes -out peticion-apache.pem -keyout keypriv.pem

Los dos archivos generados los guardaremos en /etc/apache2/ssl/ (peticion-apache.pem "la que firma la entidad", keypriv.pem "llave privada")
Esta peticion-apache.pem se la damos a la entidad cuando la firme tambien la guardaremos en /etc/apache2/ssl/ y en el archivo /etc/apache2/sites-availables/default en la linea SSLCertificateFile y la ruta con el nombre del certificado.

Ahora recargamos nuestro servicio.
# /etc/init.d/apache2 start

Abrimos un navegador web y visitamos nuestro sitio web. Nos mostrara algo asi.

Peticion de Certificado para Apache

Si queremos lo podemos configurar para que tambien escuche por el puerto 80 (sin seguridad). Acontinuacion dejo unas imagenes de la configuracion completa del archivo /etc/apache2/sites-availables/default. Al copiar la configuracion del fichero en el blog, no me toma unas lineas por eso dejo las dos imagenes de lo que contiene todo el archivo.

Para mas informacion visita este sitio web.

Mas informacion sobre este tema en los siguientes link en este mismo blog:
--Entidad Certificadora en Windows 2003 Server.
--Peticion deCertificado desde un Browser.
--Peticion deCertificado en Windows.

Peticion de Certificado desde un Browser

2008-05-13T04:32:00.000-07:00

Para hacer una peticion de Certificado desde un navegador es necesario saber la Url o la direccion IP por la cual accederemos a la Entidad Certificadora que esta motada en Windows 2003 Server.

En este peño ejemplo solo generaremos la peticion para que la entidad la firme y nosotros despues poder instalarla en un sitio web.

En estos enlaces ahi mas documentacion sobre este tema:
--Entidad Certificadora en Windows 2003 Server
--Peticion de Certificado en Windws
--Peticion de Certificado para Apache

Peticion de Certificado.

-->Primero abrimos el navegador
-->En la barra de navegacion digitamos la direccion IP de la Entidad (10.3.16.100), con el nombre del subdirectorio que vamos a visitar (/certsrv).
-->Solicitar un certificado (Request a certificate).
-->Para generar la peticio le damos clic en Certificado de Navegador web (Web Browser Certificate).-->Ahi nos pedira la informacion con la cual nos identificaremos.
-->Enviar.
-->Digitaremos una contraseña requerida para generar la peticion.

-->Ahora nos mostrara que ahi una Peticion de Certificado pendiente.
-->Miramos el estado de la peticion generada.
-->Nos muestra la hora y fecha en que fue generada.
Esperamos a que la entidad certificadora nos firme la petion para poder descargarla e instalarla.
-->Para descargar el certificado clic en Download a CA Certificate, Certificate chain, or CRL.
--> Descargar el certificado.
-->Guardar en disco.
-->Ya con el certificado descargado lo podemos agregar a cualquier Sitio web.

Entidad certificadora en Windows 2003 Server

2008-05-12T15:52:00.000-07:00

Entidad Certificadora: Es una empresa que ofrese certificados SSL. Estas nos dan conexiones seguras en Internet se hacen comúnmente usando el protocolo SSL. Esto hace que cuando nos conectemos a una pagina con seguridad nos aparezca https:// en la barra de direcciones, en ocasiones vemos que sale en color amarillo y hasta aparece un candado.

Las entidades certificadoras actuales cobrán por el servicio de firma de llaves y no suelen ser precisamente asequible. Montar una entidad certificadora oficial también resulta muy costoso ya que se necesitan unas ciertas garantias que detras del negocio hay una cierta seguridad.

Unas de las Empresas Certificadoras son:
-Comodo Funsiona en 99.3% de los Navegadores web
-Geotrust Funsiona en 98% de los Navegadores web
-VeriSign Funsiona en 99.9% de los Navegadores web

Estas entidades oficiales pagan para que aparezcan por defecto sus certificados en navegadores como Mozilla Firefox, Oprera o Internet Explorer entre otros. De esta forma el propio navegador puede comprobar automáticamente que cuando se conecta a un sitio seguro, el certificado que recibe ha sido realmente firmado por una entidad oficial y no que se te habra una ventana antes avisando que no hay un certificado que asegure la confiabilidad de la encriptación. Eso implica que nuestros certificados no serán reconocidos automáticamente por los navegadores a no ser que los agreguemos manualmente.

Nota: Antes de empezar la instalacion, es muy importante mirar la hora del sistema porque en el caso de que este adelantada sacara un error en la Entidad Certificadora y en los cerrtificados expedidos ya que tomara esto como en el "futuro".

Para instalar la Entidad Certificadora en Windows 2003 Server debemos instalar IIS (Internet Information Server) primero
Ahora mira las imagenes que pongo a continuacion donde se explica la instalacion de la Entidad Certificadora (CA) .

Entidad certifidadora en Windows

Ahora mostrare en otras imagenes algunos unas pasos de onfiguracion. Faltantes con unos ejemplos:

Primero abrimos la consola de administracion de IIS donde configuraremos la IP por cual escuchara nuestra entidad. En este caso como la ip de la Entidad cambiara constantemente entonces eespecificaremos Sin asignar "All Unassigned". Esto lo hacemos por la consola de Administracion de IIS.

Clic derecho en Default web Site
Properties (Propiedades)

Las personas que quieran ser certificadas por la Entidad debera hacer la Peticion de certificado (CSR) por un browser asi :
http://10.3.x.x/CertSrv --> Directorio virtual

Una vez ya hallan generado la peticion de certificado habrimos la consola de administracion (Certification Authority) nos aparecerá asi:

Para firmar las peticiones le damos clic derecho Todas las tareas (All Task), "Firmar" (Issue) y listo.

Podemos ver todos los certificados firmados en Issued Certificates.

Emlaces relacionados, en este blog:
--Peticion de Certificado en Windows
--Peticion de Certificado para Apache
--Peticion de Certificado desde un Browser

Kernel de Linux

2008-05-09T19:04:00.000-07:00

El kernel ó núcleo de linux se puede definir como el corazón de este sistema operativo. Es el encargado de que el software y el hardware de tu ordenador puedan trabajar juntos.

Las funciones más importantes del mismo, aunque no las únicas, son:

* Administración de la memoria para todos los programas y procesos en ejecución.
* Administración del tiempo de procesador que los programas y procesos en ejecucion utilizan.
* Es el encargado de que podamos acceder a los periféricos/elementos de nuestro ordenador de una manera cómoda.

Hasta que empezó el desarrollo de la serie 2.6 del núcleo, existieron dos tipos de versiones del núcleo:

--> Versión de produccion: La version de produccion, era la version estable hasta el momento. Esta version era el resultado final de las versiones de desarrollo o experimentales.

Cuando el equipo de desarrollo del núcleo experimental, decidia que tenia un núclo estable y con la suficiente calidad, se lanzaba una nueva versión de producción ó estable. Esta versión era la que se debia utilizar para un uso normal del sistema, ya que eran las versiones consideradas más estables y libres de fallos en el momento de su lanzamiento.

--> Versión de desarrollo: Esta versión era experimental y era la que utilizaban los desarrolladores para programar, comprobar y verificar nuevas características, correcciones, etc. Estos núcleos solian ser inestables y no se debian usar sin saber lo que se hacia.

Como interpretar los numeros de las versiones de las series por debajo de la 2.6:

Las versiones del núcleo se numeraban con 3 numeros, de la siguiente forma: AA.BB.CC

AA: Indicaba la serie/versión principal del núcleo. Solo han existido la 1 y 2. Este número cambiaba cuando la manera de funcionamiento del kernel habia sufrido un cambio muy importante.
BB: Indicaba si la versión era de desarrollo ó de producción. Un número impar, significaba que era de desarrollo, uno par, que era de producción.
CC: Indicaba nuevas revisiones dentro de una versión, en las que lo único que se habia modificado eran fallos de programación.

--> Unos ejemplos nos ayudaran a entenderlo mejor:

ej1: versión del núcleo 2.4.0: Núcleo de la serie 2 (AA=2), versión de producción 4 (BB=4 par), primera versión de la serie 2.4 (CC=0)
ej2: versión del núcleo 2.4.1: Núcleo de la serie 2, versión 4, en el que se han corregido errores de programación presentes en la version 2.4.0 (CC=1)
ej3: versión del núcleo 2.5.0: versión 0 del núcleo de desarrollo 2.5.

Con la serie 2.6 del núcleo, el sistema de numeración asi como el modelo de desarrollo han cambiado. Las versiones han pasado a numerarse con 4 digitos y no existen versiones de produccion y desarrollo.
--> Las versiones del núcleo se numeran hoy en dia con 4 digitos, de la siguiente forma: AA.BB.CC.DD.

AA: Indica la serie/versión principal del núcleo.
BB: Indica la revision principal del núcleo. Numeros pares e impares no tienen ningun significado hoy en dia.
CC: Indica nuevas revisiones menores del núcleo. Cambia cuando nuevas caracteristicas y drivers som soportados.
DD: Este digito cambia cuando se corrigen fallos de programación o fallos de seguridad dentro de una revisión.

Hoy en dia se suele usar el nucleo distribuido con la distribucion que el usuario utiliza. Son las distribuciones las encargadas de distribuir núcleos estables a sus ausuarios y estos nucleos se basan en el núcleo ("vanilla") distribuido por Linux Torvalds y el equipo de programadores del núcleo.

Dónde conseguir el núcleo

El núcleo denominado "vanilla" (sin alteraciones y suministrado por Linux Torvalds) se puede bajar de un gran número de servidores en internet pero el sitio oficial es http://www.kernel.org/. En este enlace tienes la lista internacional oficial de servidores espejos, de donde es posible bajarse cualquier versión del núcleo (última y antigüas). A continuacion teneis una tabla resumen con las ultimas versiones del kernel:

Ultima version estable del kernel:	2.6.25.3
Ultima version alpha de la serie 2.6:	2.6.26-rc2
Ultima version estable de la serie 2.4:	2.4.36.4
Ultima version alpha de la serie 2.4:	2.2.26
Ultima version estable de la serie 2.2:	2.2.27-rc2

Cada distribución distribuye sus nucleos por los canales de actualización habituales para cada una de ellas.

Configuración e instalación de un nuevo núcleo

Este es uno de los temas que asustan a los nuevos usuarios de Linux. Lo primero, decir que no hay razón para asustarse, la configuración e instalación de un nuevo núcleo en nuestro sistema es mas fácil de lo suena. Lo segundo, es que pueden tener un sistema estable, actualizado y que funcione sin problemas durante meses sin tener que compilar un solo núcleo, siempre y cuando utilicen los núcleos distribuidos con vuestra distribución.

Es muy recomendable el utilizar los núcleos distribuidos por la distribución que utiliceis. Estos núcleos tienen muy buena calidad y son muy completos y con esto evitar el trabajo de configurar, compilar y mantener nuevas versiones del núcleo. Si son de los que les gustan experimentar y aprender nuevas cosas, adelante, nadie impide que bajemos el último núcleo y experimentar con el, esto era mucho más común hace unos años y una tarea casi imprescindible en muchos casos.

Para los interesados en el tema existen dos links muy buenos que pueden utilizar para aprender a como compilar un núcleo, FAQ/Kernel compilation y el Kernel Rebuild Guide.

Esta informacion fue sacada de www.linux-es.org

¿ Como saber la version de kernel que estamos usando?

Pues esto es muy facil solo es cuestion de dar el comando uname -r y este nos mostrara la informacion solicitada.

OpenOffice.org

2008-05-09T17:48:00.000-07:00

Me inscribi en unas listas de correos en la que todos los dias me llegan mensajes contando las nuevas cosas que suceden en el mundo de la tecnologia. Esto es bueno porque asi mantengo un poco informada y miro los problemas que le suceden algunas personas, que si puedo colaborar en algo aporto o miro los aportes de los demas.

Pues lo que les quiero contar es que ya esta disponible la nueva version de OpenOffice.org 3.0 Beta, la cual la pueden descargar aciendo clic aqui. Unas de las caracteristicas son:

--> Nuevo soporte para sistemas Mac
--> Soporte para formato ODF 1.2
--> Importación de documentos, hojas de calculo y presentaciones generadas en MSOffice 2007 (.docx)
--> Un modulo para ejercicios programación lineas llamado Solver
--> Ampliación de opciones para gráficos de regresiones
--> y Entre otras, soporte para 1024 en lugar de 256 columnas en cada hoja de calculo

Para mas informacion mira este link.

Ejemplos de GNUPG

2008-04-29T15:53:00.000-07:00

Algunos de los comandos con su respectiva explicacion:

# gpg --gen-key -->Crea una llave publica y privada.

# gpg --list-key -->Lista claves publicas

# gpg -K -->Lista llaves privadas

# gpg --export -o [archivo_clave] -->Exporta clave y con "-o" crea un archivo donde se guardara "archivo_clave"

# gpg --export -o archivo_clave -a -->Hace la misma funsion anterior pero con "-a" exporta el archivo en formato ascii para que sea mas ordenado.

# gpg --import "/home/sena/new_llave.gpg" -->Importa llaves.

Pasos para firmar la llave de un compañero.
Primero descargamos la llave publica del compañero si esta en un servidor de llaves publicas como http://wwwkeys.pgp.net , o la obtenemos directamente por usb,correo, etc...
Esto lo podemos hacer con copiar, pegar (clic derecho) en un archivo. Si vamos a descargar varias llaves lo mejor es que le pongamos el nombre de cada persona para que sea mas facil distinguirlas.

Una vez descargada la llave hacemos lo siguiente:

# gpg --import clave_amigo.txt
gpg: clave 195216A5: clave pública "Mi amigo imaginario (amigo) " importada
gpg: Cantidad total procesada: 1
gpg: importadas: 1
gpg: 3 dudosa(s) necesarias, 1 completa(s) necesarias,
modelo de confianza PGP
gpg: nivel: 0 validez: 1 firmada: 1 confianza: 0-, 0q, 0n, 0m, 0f, 1u
gpg: nivel: 1 validez: 1 firmada: 0 confianza: 1-, 0q, 0n, 0m, 0f, 0u
gpg: siguiente comprobación de base de datos de confianza el: 2008-05-14

Firmamos la llave y la volvemos confiable para que quede en nuestro circulo de seguridad osea nuestros contactos confiables.
# gpg --sign-key 195216A5

pub 1024D/195216A5 creado: 2007-08-23 [caduca: 2008-08-22] uso: SC
confianza: desconocido validez: desconocido
sub 2048g/10B3BC6D creado: 2007-08-23 [caduca: 2008-08-22] uso: E
desconocido (1). Mi amigo imaginario (amigo)

pub 1024D/195216A5 creado: 2007-08-23 [caduca: 2008-08-22] uso: SC
confianza: desconocido validez: desconocido
Huella de clave primaria: EB52 15D7 5EAD 15E5 274E ED98 43E6 8565 1952 16A5

Mi amigo imaginario (amigo)

Esta clave expirará el 2008-08-22.
¿Está realmente seguro de querer firmar esta clave
con su clave: "Alexandra Amaya (ALEX4) " (B800A812)?

¿Firmar de verdad? s

Necesita una frase contraseña para desbloquear la clave secreta
del usuario: "Alexandra Amaya (ALEX4) "
clave DSA de 1024 bits, ID B800A812, creada el 2008-05-07

Introzca frase contraseña:
gpg: el agente gpg no esta disponible en esta sesión

# gpg --export -o llave_amigo.txt -a 195216A5

Para comprobar que el archivo si fue exportado miramos el contenido de dicho archivo
# cat llave_amigo.txt --> Este sera el archivo de la llave de mi amigo ya firmado por mi. Ejemplo:

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.6 (GNU/Linux)

mQGiBEbNdPkRBACwsoi++uoOesj5uCZLuWjf5rfdWJ3exN2PRIWyj6NEU4d6rgF/
ckCpXstu/t3lS34kzvHCsSsR+oOecJEkjoSiPdhx7EHOyUlcmgU+LsGPB+RiX58/
Nr3jOUP/Nk6W6kIuiJ3VnBwCk6xtRWxwTyD9FC3llP3OSxMVvxVIZ9qlpwCg07FB
J2mDxEI9m9Zj1ukluqXH4eUEAImLo5k/Jve6V74M1gEVj6gNQ3TfGxqQwGYT1xug
vqg9joC+lNLIJ1+rdP6sa/nFuhp9jqkmviX5aebvJmqijJBQ4mOrkosgR0x6msDZ
/9xWVvFQkNXN0m0E+/Zua33uqOhGQFQqomRNX6sYpyeI1tPgmY8U2MYZLjSedRWp
YRiUA/96XaGbW8Dl00Pj/KMlQM6fDfzsqmy3h+a8KRGVJ3RiYUInp5lvBQ3ahiqT
1XQLBY+++Hc0/2Xbio/vEKHvAhrLpHoeIBKHMxdXCAw0zPv38TkSNizVqK3Z0woN
XTjA4bg9zGC+QJ7CdAzVIMWS+MtMwiqadWCOWDwTucrlH9yV8LQ7Y2FtaWxvIGFu
ZHJlcyB6YXBhdGEgdG9ycmVzIChkdW1hKSA8Y2FtaWxvenRAbWlzZW5hLmVkdS5j
bz6IRgQQEQIABgUCRs2H9wAKCRCgF4KwtnFHJjMQAKCUoId+EhzoIqAlsZrp+9q6
ddRtJACgt62Iu2ndvouEYpVQj/KQhoAO5ZWIZgQTEQIAJgUCRs10+QIbAwUJAeEz
gAYLCQgHAwIEFQIIAwQWAgMBAh4BAheAAAoJEEPmhWUZUhalHDoAoI+oxJlyHHuE
G5NQEEnoeu9IMqxtAKDRruR+1k+xyrcZSIOc8OKqwUdshohGBBARAgAGBQJICI2O
AAoJEDoMtVlitVA6BwEAoIS4703E8dEHOkES0XQlv0ZqjmLzAJ9DLspcxXVqcBBO
IZ4aBEHXi0oqGYhGBBARAgAGBQJIKiJBAAoJEBShTUy4AKgS/h0AoISPS4n/VPSL
czWBZW/nOy4wl5FAAJ4hEtzPKz9z5kILFOApbWnkNhI6S7kCDQRGzXUQEAgArEiX
/7C4XrPXkimIZpaKY320gfHCHNEa5tahpsVhU9RglO4BziijOhFT//IJCt6Jp2Jk
MFi2k5eJ8V4ozfdjeHkDQlSzw1J4GvCgYyDEazagsISZFiBXL+ub+TIeUOiK2l4V
LtRDFH3DwSniuM1pWYBxdYLSOB3SntrT9H7KDepAZV8VVROjNhSeeoq8v5FocsQh
iV91w+Ri7GVLVY38vg1qrwHAp6gKvFDCZcn0Z99ISQ41HWNQSJhXKqUHUVcpDkvS
O5iDnRYU1iewDXhUk+zQgbih0/C58CeYcQ9ZjTo+v4gpanC6H6E0sdZM3a4d4JDR
oNuf4WpdE+ktIWEaswADBQf+J32V02P5q5pdlukC5weCDhgV1zJKa55nio6cCtXA
Q5Rd3JsFcfhiFa8b6VYp+zcFWBYeOJQOFd2YHU16We9PA0v9+ulnXV0M3sqrAe4w
J2Q1XeNqFdiS2KpoSADTrZGb4fkZwKEGZTLXrVEnQsX2p42FlqqbDYB5OHW7HMAt
nsii95D4p9vBW2c3PZI5AgfFHxgbb9e8nEzVmCYi/23XOPI/DcIwwgfjsyLLZ80O
LPrMc5K9u5ELTaH2l9lITk07o4ppUbTCXjrzvHLdkf5OIUjJOM9fIJqR91+AE3Hf
NsTYG8NLZRKAO0/FLTwn1u7Fn5WCqOLiEtHk4QY4tuLbGohPBBgRAgAPBQJGzXUQ
AhsMBQkB4TOAAAoJEEPmhWUZUhalgOYAniNjyT/pXCGQgi0tPJ8Dtz9/lDHoAJ9n
jiMJnu0B6rQExALlFkVXqhcreA==
=NkGT
-----END PGP PUBLIC KEY BLOCK-----

Esta sera la llave que subiremos al servidor, http://wwwkeys.pgp.net para que aparezca en mi circulo de confianza o llaves firmadas.

# gpg -c -a new.txt --> Encripta (-c)un archivo en metodo ascii (-a). (new.txt.asc) el .txt si quiere lo ponen o lo escluyen.

# gpg -d -o cript desencript.asc --> Desencripta (-d) el archivo creado (-o=archivo de salida, desencript.asc) y despues el archivo a desencriptar (cript). Algo muy importante es recordar que con la frase que encriptamos es con la misma que desencriptamos osino sacara error (descifrado fallido: clave incorrecta)

# gpg -s -a archivo --> Para firmar un archivo creado por nosotros (archivo) y lo firma archivo.asc

# gpg -R [ID] -e [archivo] --> Para firmar con la llave publica de otra persona.

# gpg -a -o [llave_exportada.txt] --export-secret-key --> Para exportar la clave Secreta.

# gpg --import [llave_exportada.txt] --> Para importar la llave privada desde otro PC.

SSL y TLS

2008-04-28T10:07:00.000-07:00

Secure Sockets Layer SSL (seguridad de la capa de transporte): Es un protocolo criptografico que proporciona comunicacion segura en Internet.
SSL proporciona autenticacion y privacidad de la informacion entre externos sobre Internet mediante el uso de criptografia. Habitualmente solo el servidor es autenticado, mientras el cliente semantiene sin autenticar (garantizar su identidad); la autenticacion mutua requiere un despliegue de PKI (Infraestructura de claves Publicas) para los clientes. Permite a las aplicaciones cliente-servidor comunicarse de una forma diseñada para prevenir escuchas o phishing.

Comunicacion SSL

Transport Layer Secure TLS (Capa de transporte seguro): Es un protocolo para establecer una conexion segura entre un cliente y un servidor y la creacion de una conexion cifrada entre los dos.
El protocolo es extensible, en el sentido de los nuevos algoritmos que se pueden añadir para alguno de estos fines, siempre y cuando el servidor y el cliente son conscientes de los nuevos algoritmos.

Certificado digital

2008-04-28T09:37:00.000-07:00

Es un documento digital mediante el cual se garantiza la vinculacion entre una clve publica y una entidad con reconocimiento en este tema, permite verificar que una clave publica especifica pertenece, efectivamente a un individuo determinado. El certificado contiene usualmente el nombre de la entidad certificada, un numero o serial, fecha de espiración, copia de la clave publica del titular de certificado.
Los browsers tienen interconstruidas las llaves públicas de varias Autoridades Certificadoras, pueden revisar la firma digital del certificado, y así corroborar la identidad del servidor.

Los certificados ayudan a prevenir que alguien utilice una clave para hacerse pasar por otra entidad.

Ejemplo de un Certificado Digital:

Certificate:
Data:
Version: 3 (0x2)
Serial Number: 21 (0x15)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=CO, ST=Antioquia, L=Medellin, O=CA-SENA
Validity
Not Before: May 8 07:05:07 2008 GMT
Not After : Jun 8 07:05:07 2008 GMT
Subject: OU=Teleinformatica
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
00:99:f0:ff:cf:f8:26:46:26:b8:9a:99:40:2f:f9:
fc:60:65:44:8f:7c:73:df:2f:49:52:0c:c8:7d:2c:
b3:44:a5:e0:cd:61:ef:de:15:01:bd:71:3f:88:65:
54:29:88:5c:5c:a5:b8:dd:54:26:8a:81:d7:91:ea:
51:7e:b6:29:83:60:50:5b:f0:03:e3:90:1b:4d:16:
bf:0f:b7:3d:1a:74:53:66:f4:1e:fa:0e:bc:ab:fd:
f4:a8:1c:ef:00:6c:63:20:89:98:53:49:6c:94:6f:
e2:3f:77:e7:28:30:cd:ca:c2:34:98:e7:bd:69:8d:
8a:15:92:fc:8b:81:37:23:19
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
34:F8:F4:DD:3D:2E:2E:C8:C0:DA:E1:D6:0A:B8:DD:24:19:71:F8:11
X509v3 Authority Key Identifier:
keyid:9F:D4:CD:CF:75:E1:D3:E6:45:86:95:0F:99:38:52:BF:AC:3A:30:35

Signature Algorithm: sha1WithRSAEncryption
a5:0f:1a:78:22:b8:91:94:4d:d6:67:ee:87:5d:a9:79:d0:bf:
df:86:de:87:82:3f:a0:ff:d6:a7:bd:62:fb:5f:9b:0c:8e:42:
1e:ac:27:02:26:ef:1c:16:b4:95:8e:de:51:ae:32:7c:43:29:
e2:20:b8:7b:7d:0f:8b:f0:e3:38:10:b7:f5:5d:f8:71:86:d6:
b5:dd:58:fa:ff:09:35:ed:b8:06:58:1f:7f:bc:d8:4f:9b:75:
de:3c:f4:d7:98:ca:b4:7e:95:b2:f4:ee:0d:1d:8c:91:07:ac:
6b:b4:da:b3:89:93:d1:b0:4e:0d:96:1b:e2:50:c7:92:65:fe:
46:4f
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

FLISoL 2008

2008-04-28T05:35:00.000-07:00

Llego el tan esperado día en donde compartimos solo software libre. El pasado sábado 26 de Abril en el parque Explora desde las 10 am hasta las 5 pm fue dicho evento que tubo la visita de mas de 600 interesados en el Software Libre, los cuales pudieron ver talleres, conferencias, Instalaton, maquinas virtuales y demás temas tratados.
El evento apesar de unos pequeños inconvenientes como el del clima, fue todo un exito, asistieron mas personas de las esperadas y estuvieron interesadas en todo lo relacionado con el tema del FLISoL.
Aunque no tuve la dicha de asistir al FLISoL del 2007 me dicen que este no se quedo atras.

El trabajo de los organizadores no se puede dejar a un lado una gran FELICITACIÓN porque sacaron el evento adelante. Esperamos que vengan muchos mas FLISoL y que sean tan o mas buenos como este.

Para mirar unas de las fotos de este gran evento pulsa aqui!!!
Sacadas de uno de los asistentes al Festival.

Curiosidad!!!

2008-04-27T17:46:00.000-07:00

Mirando por la web, me encontre con una pagina muy curiosa diria yo, es gracioso lo que comentan aca, porque creo que en parte trata la realidad de lo que vivimos unas personas que conocemos mas de un computador que otras, que son mas inespertas. Este link lo saque de la galería de la pagina de geek wear, si la misma empresa encargada de vender las camisas, gorras, tux, y demas cosas de Software Libre en el FLISoL 2008 realizado en Medellín el pasado Sábado 26 de Abril.

Me pareció algo bueno para compartir con ustedes los lectores de mi blog, para leer dicho documento has clic aquí.

Firma Digital

2008-04-22T08:36:00.000-07:00

Sistema compuesto de hardware, software, canales de comunicacion y recursos humanos que provee un marco de seguridad y confianza a los documentos electronicos, permitiendo asociar la identidad de una persona o de un equipo informatico a un mensaje o documento.

Para hacer firmas digitales podemos utilizar GNUPG (GNU Privacy Guard) es una herramienta para cifrado y firmas digitales, un reemplazo del PGP (Pretty Good Privacy) pero con la principal diferencia que es software libre bajo licencia GPL. Para instalar esta herramienta en linux solo basta con el siguiente comando:
# apt-get install gnugp

Para ejecutarlo solo es cuestion de dar unos comandos.
# gpg --help --> Nos mostrara las formas de utilizarlo, los algoritmos con los que trabaja y nos dara algunos ejemplos.

Un ejemplo de una Firma Digital en codigo ASCII, que es el encargado de poner lo cifrado en una forma mas ordenada por parrafos.

--> Primero creamos la firma en texto claro. pico firma.txt (Mi firma de correo)
--> Luego la ciframos con:
# gpg -s -a firma.txt (-s=crea una firma, -a=metodo ascii) donde nos preguntara lo siguiente.

Necesita una frase contraseña para desbloquear la clave secreta
del usuario: "Alexandra Amaya (ALEX4) "
clave DSA de 1024 bits, ID 62B5503A, creada el 2008-04-16

gpg: el agente gpg no esta disponible en esta sesión
Introduzca frase contraseña: -->aca debemos ingresar nuestra frase secreta.

Ahora miramos el archivo firmado que sera firma.txt.asc (.asc=Formato ascii)
# cat firma.txt.asc

-----BEGIN PGP MESSAGE-----
Version: GnuPG v1.4.6 (GNU/Linux)

owGbwMvMwCQostDXZwfDCiHGNZ5J3LmVaZlFuYl6JRUlHkp+U12LSxIVUosVcjMV
wOIKKZnpmSWJOToKKak5Csn5RUWp+UAmSL44NS9RT09PEQS4OuyZWRlABsAMF2Tq
D2aYZ9S3QNE11/eX6Uo54wm79Wp6znOqM8wPsvl6czbPYvYpjgXuOnMygySeh6wC
AA==
=VTlf
-----END PGP MESSAGE-----

Para verificar la firma de un compañero se puede hacer asi:

# gpg --verify firma_ana.txt.asc -->Mostrara lo siguiente.
gpg: Firmado el jue 17 abr 2008 10:42:06 COT usando clave DSA ID 85C2AB4C
gpg: Imposible comprobar la firma: Clave pública no encontrada

No sera lo correcto por eso antes debemos hacer algo como acontinuacion. Copiar la clave en un archivo el cual importaremos (clave_ana.txt).
Importar la clave asi:
# gpg --import clave_ana.txt --> Clave de mi compañera
gpg: clave 85C2AB4C: clave pública "Ana Zapata " importada
gpg: Cantidad total procesada: 1
gpg: importadas: 1
gpg: 3 dudosa(s) necesarias, 1 completa(s) necesarias,
modelo de confianza PGP
gpg: nivel: 0 validez: 1 firmada: 0 confianza: 0-, 0q, 0n, 0m, 0f, 1u
gpg: siguiente comprobación de base de datos de confianza el: 2008-05-14

Ahora en el momento que hacemos un: # gpg --list-key listara dos claves la de mi compañera y la mia. Ejemplo
# gpg --list-key
/home/alexandra/.gnupg/pubring.gpg
----------------------------------
pub 1024D/B800A812 2008-05-07 [[caduca: 2008-05-14]]
uid Alexandra Amaya (ALEX4)
sub 2048g/92E6E455 2008-05-07 [[caduca: 2008-05-14]]

pub 1024D/85C2AB4C 2008-04-17 [[caduca: 2008-05-17]]
uid Ana Zapata
sub 2048g/386B1EC5 2008-04-17 [[caduca: 2008-05-17]]

Verificar la firma del compañero:
# gpg --verify firma_ana.txt.asc
gpg: Firmado el jue 17 abr 2008 10:42:06 COT usando clave DSA ID 85C2AB4C
gpg: Firma correcta de "Ana Zapata "
gpg: ATENCIÓN: ¡Esta clave no está certificada por una firma de confianza!
gpg: No hay indicios de que la firma pertenezca al propietario.
Huellas dactilares de la clave primaria: CB74 BA88 29AC 5145 F51A C3AA 579B EA89 85C2 AB4C

Como no hemos firmado la llave del compañero por eso nos aparece " No hay indicios de que la firma pertenezca al propietario". Pero para firmarla asi:
# gpg --sign-key 85C2AB4C (ID)

pub 1024D/85C2AB4C creado: 2008-04-17 [caduca: 2008-05-17] uso: SC
confianza: desconocido validez: desconocido
sub 2048g/386B1EC5 creado: 2008-04-17 [caduca: 2008-05-17] uso: E
desconocido (1). Ana Zapata

pub 1024D/85C2AB4C creado: 2008-04-17 [caduca: 2008-05-17] uso: SC
confianza: desconocido validez: desconocido
Huella de clave primaria: CB74 BA88 29AC 5145 F51A C3AA 579B EA89 85C2 AB4C

Ana Zapata

Esta clave expirará el 2008-05-17.
¿Está realmente seguro de querer firmar esta clave
con su clave: "Alexandra Amaya (ALEX4) " (B800A812)?

¿Firmar de verdad? s

Introduzca frase contraseña: --> (Ingresamos nuestra frase secreta)

Necesita una frase contraseña para desbloquear la clave secreta
del usuario: "Alexandra Amaya (ALEX4) "
clave DSA de 1024 bits, ID B800A812, creada el 2008-05-07

gpg: el agente gpg no esta disponible en esta sesión

Ahora si en el momento de hacer: # gpg --verify firma_ana.txt.asc NO nos mostrara lo anterior
gpg: Firmado el jue 17 abr 2008 10:42:06 COT usando clave DSA ID 85C2AB4C
gpg: Firma correcta de "Ana Zapata "

Terminamos espero me hallan entendido, o si no me pueden dejar comentarios que con gusto corregire mis errores o procurare ser mas clara.

Criptografia

2008-04-21T05:26:00.000-07:00

La palabra criptología proviene de las palabras griegas Kryto y logos que siginifica estudio de lo oculto.
Nace de la necesidad de enviar información secreta entre dos entidades (personas, empresas, organizaciones) atraves de Internet, para que terceras personas no vean lo que es enviado y asi proteger los datos.

Servicios de le criptografia:
-->Autenticacion: Asegurar que el origen de la informacion es quien dice ser.
-->Confidencialidad: Impedir que la informacion sea vista por quien no debe.
-->Integridad: Asegurar que la informacion nose modificacuando se transmite o almacena.
-->No repudio: Impedir que alguien niegue haber realizado una transaccion cuando efectivamente lo ha hecho.

Tipos de criptografia
Segun el tratamiento del mensaje se dividen en:
-->En bloque (IDEA, AES, RSA) 64 o 128 bits
-->Cifrado en flujo (A5, RC4, SEAL) cifrado bit a bit

Segun el tipo de claves se dividen en:
-->Cifrado con clave secreta "Sistemas Simetricos"
-->Cifrado con clave publica son "Sistemas Asimetricos"

Tipos de Algoritmos
Simetrico: Tambien conocida como "criptografia clasica o de llave privada". Es la que solo posee una llave, con la llave que encripta solo se puede descencriptar si conoce diche clave.
Asimetrico: Tambie conocida como "criptografia moderna o llave publica". Esta posee 2 llaves una privada y una publica, dos para el emisor (transmite) y dos para el receptor (resibe), osea que serian 4 llaves (K).
HASH o resumen:Se utiliza para garantizar la integridad de un mensaje. Es paraecido a los codigos de (CRC) Control de Redundancia Ciclica pero mucho mas robustos frente a ataques.

Tecnicas Clasicas
-->Ocultacion: Ocultar mensajes dentro de otro.
-->Sustitucion: Cada caracter (letra) del texto claro se sustituye por otro en texto cifrado.
-->Transposición: Cambiar el orden de los caracteres del texto plano. Ejm poner texto horizontal en vertical.

Ejemplos de algoritmos simétricos:
-DES (Data Encryption Standard):Utiliza claves de 56 bits y 8 de paridad (64 bits), utiliza mecanismos de transposición y sustitucion.
-3DES:Consiste en aplicar DES tres veces seguidas, se considera un algoritmo seguro, es lento comparado con algoritmos mas modernos.
-IDEA (International Data Encryption Alg):Claves de 128 bits. Es dos veces mas rapido que el DES, muy utilizado en Europa.
-AES (Advanced Encryption Standard):Algoritmo de cifrado en bloques de 128 bits, para información sensible( "no clasificada"

Ejemplos de algoritmos asimétricos:
-DH (Diffie Hellman): Claves de 512, 1024. Utilizado mayoritariamente para negociar claves.
-RSA (Rivest Shamir Addleman): Utiliza claves de 512, 768, 1024 o 2048. Utilizado mayoritariamente para firmar.
-DSA (Digital Signature Algorithm): Inicialmente se utilizaban claves de 512 y posteriormente se incremento a 1024 para mayor seguridad.

Configuracion VPN en ISA Server

2008-04-05T18:08:00.000-07:00

Red Privada Virtual (RPV), en inglés Virtual Private Network (VPN), es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo Internet.
Ejemplos comunes son, la posibilidad de conectar dos o más sucursales de una empresa utilizando como vínculo Internet, permitir a los miembros del equipo de soporte técnico la conexión desde su casa al centro de cómputo, o que un usuario pueda acceder a su equipo doméstico desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando la infraestructura de Internet.

Los pasos para la configuracion de una VPN Client-Server o Empleado-sucursal los pongo con unas imagenes acontinuacion.

Instalando VPNs en ISA Server 2006

Nota: Al terminar la configuracion de la VPN debemos aplicar los cambios.
Y no es por demas decir que para que nuestro usuario se comunique con la sucursal es necesario crear una nueva conexion VPN desde el computador personal que usaremos para conectarnos con el Servidor. Es importante en el momento de escribir una contraseña compartida, copiar bien los caracteres y distinguir entre minusculas y mayusculas.

ISA Server 2006

2008-04-04T07:48:00.000-07:00

Microsoft Internet Security and Acceleration Server (ISA Server) es un firewall de stateful packet inspection (es decir, analiza el encabezado de los paquetes IP) y de application layer (analizan la trama de datos en busca de tráfico sospechoso). Adicionalmente, ISA Server es un firewall de red, VPN y web cache.

Es el Gateway integrado de seguridad perimetral que permite proteger su entorno de Infraestructura Tecnologica (TI) frente a las amenazas de internet, ademas de proporcionar a los usuarios un acceso remoto seguro a las aplicaciones y datos corporativos.

Pasos para la instalacion de ISA Server 2006

Antes de empezar es necesario recordar que para poder instalar ISA server debe tener como minimo dos tarjetas de red, una para la red interna (LAN) y la otra para red externa (WAN) porque de lo contrario no se instalara.

En este ejercicio el instalador lo sacaremos del FTP del SENA, para las personas que no lo tengan, lo pueden descargar.

-Primero ejacutamos el programa de instalacion.

Aca nos aparecen varias opciones que son:

-Instalar ISA server 2006(Install ISA Server 2006)=Esta es la opcion de instalar el isa server.

-Leer notas de la version (Roon upgrade guide)=Breve explicacion de las opciones que contiene ISA Server.

-Salir (Exit)=Para salir del instalador.

Como lo que queremos es instalar le damos en la primera opcion. Despues nos aparecera una bienvenida al sistema de instalacion de ISA server.
-Siguiente

Ahora nos pedira la clave del producto. Con el que yo estoy trabajando es de prueva por eso este trae la clave del pruducto ya lista.
-Siguiente

Escogemos el esenario en que deseamos instalar. Como es nuestro primer ISA server le daremos clic en:
-Ambos ISA Server y el servidor de almacenamiento de configuracion.

En caso de que existiera otro ISA server escogeriamos otra opcion.
-Siguiente

Selecionar componentes: Miramos que este selecionado Isa server
-Siguiente

Opciones de instalacion de empresa:
-Clic crear una nueva empresa de ISA Server
-Siguiente

Aparecera un aviso de peligro
-Siguiente

Cuenta de servidor de almacenamiento de configuracion ejm:
-Usuario (Administrador)
-Contraseña (************)
-Siguiente

Ahora escogemos nuestra red Interna, Clic en agregar adaptador y escogemos el adaptador de red.
-Siguiente

Conexion de cliente Firewall
-Siguiente

Nota: Si no queremos una comunicacion encriptada con el cliente firewall seleccionamos la opcion permitir conecciones no encriptadas.

Las siguientes dos opciones son de precaucion y nos preguntaran si estamos listos para instalar ISA server.
-Siguiente
-Install

Amedida que Isa Server se instala nos pedira el CD 2 del Sistema Operativo osea el cd de Windows 2003 Server R2 en ingles, para acabar de instalar.

Cuando termina la instalacion nos aparecera una ventana de finalizacion donde hay una opcion para invocar la consola de administracion de ISA SERVER si queremos invocarla le damos clic en la opcion para invocar y luego clic en -finalizar.

Y por ultimo y mas obvio reinicir el computador.

Otra forma de iniciar la consola de Administracion del ISA server es:
-Inicio
-Todos los programas
-Microsoft ISA server
-ISA server Management

Materiales Libres

2008-04-03T16:54:00.000-07:00

Para las personas que estamos iniciando nuestros conocimientos en Linux encontre esta pagina que publico el profesor Camilo Zapata donde encontraremos unos documentos muy interesantes acerca del software libre y los podemos descargar, lo mejor en español para los que no saben ingles http://www.uoc.edu/posgrado/matricula_abierta/web/materiales_libres.html.

Que orgullo!!!

2008-04-03T16:06:00.000-07:00

Para mi es un placer compartir con ustedes esta foto (Tomada en el sena) e informacion que me encontre en la pagina de la revista Essentia Libre en la edicion numero 10, la cual esta en formato PDF. En la revista aparece el reconocido Ingeniero Electronico Fernando Quintero "nonroot" conocido en el SENA como Docente de esta institucion en el area de Teleinformatica, acompañado de Astid Sanches "y0sita" Ingeniera Electronica.

En la edicion de esta revista los dos Ingenieros hablan de la importancia de la comunidad OpenBSD Colombia a la que ellos pertenecen, hacen aportes importantes acerca del software libre y de BSD.

Para los que no conocian la revista al igual que yo les cuento que es la primera revista Colombiana que trata todos los temas relacionados con tecnologías libres(Hardware, Software), Contenidos abiertos y Licencias Libres. En la pagina oficial de la revista podemos descargar todas ediciones que han salido en formato PDF para que conozcamos este nuevo proyecto.

Con esto concluyo que el Ingeniero Fernando Quintero anterior profesor mio en modulo de
instalacion y configuracion de servidores en Administracion de Redes, es un teso para el mundo del sotware libre y claro como no, si tiene mas de 10 años que conoce Unix. Espero conocer este mundo igual o mas que el. Jejeje

Algunos terminos de seguridad

2008-04-02T17:57:00.000-07:00

DMZ (en ingles Demilitarized zone) o Zona DesMilitarizada. En seguridad informática, una zona desmilitarizada (DMZ) o red perimetral es una red local (una subred) que se ubica entre la red interna de una organización y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo se permitan a la red externa -- los equipos (hosts) en la DMZ no pueden conectar con la red interna. Esto permite que los equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejón sin salida. La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accedidos desde fuera, como servidores de e-mail, Web y DNS.

-SPOOFING: en términos de seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación. La idea de este ataque - al menos la idea - es muy sencilla, desde su equipo, un pirata simula la identidad de otra máquina de la red para conseguir acceso a recursos de un tercer sistema que ha establecido algún tipo de confianza basada en el nombre o la dirección IP del host suplantado.
Existen diferentes tipos de spoofing dependiendo de la tecnología a la que nos refiramos, los cuales se describirán más adelante, como el IP spoofing (quizás el más conocido), ARP spoofing, DNS spoofing, Web spoofing o e-mail spoofing, aunque en general se puede englobar dentro de spoofing cualquier tecnología de red susceptible de sufrir suplantaciones de identidad.

-IP SPOOFING: Suplantación de IP. Consiste básicamente en sustituir la dirección IP origen de un paquete TCP/IP por otra dirección IP a la cual se desea suplantar. Esto se consigue generalmente gracias a programas destinados a ello y puede ser usado para cualquier protocolo dentro de TCP/IP como ICMP, UDP o TCP. Hay que tener en cuenta que las respuestas del host que reciba los paquetes irán dirigidas a la IP falsificada.

-ARP SPOOFING: Suplantación de identidad por falsificación de tabla ARP. Se trata de la construcción de tramas de solicitud y respuesta ARP modificadas con el objetivo de falsear la tabla ARP (relación IP-MAC) de una víctima y forzarla a que envíe los paquetes a un host atacante en lugar de hacerlo a su destino legítimo. Explicándolo de una manera más sencilla: El protocolo Ethernet trabaja mediante direcciones MAC, no mediante direcciones IP. ARP es el protocolo encargado de traducir direcciones IP a direcciones MAC para que la comunicación pueda establecerse; para ello cuando un host quiere comunicarse con una IP emite una trama ARP-Request a la dirección de Broadcast pidiendo la MAC del host poseedor la IP con la que desea comunicarse. El ordenador con la IP solicitada responde con un ARP-Reply indicando su MAC. Una manera de protegerse de esta técnica es mediante tablas ARP estáticas (simpre que las ips de red sean fijas), lo cual puede ser difícil en redes grandes. Para convertir una tabla ARP estática se tendría que ejecutar el comando:
Ejemplo en consola: arp -s [IP] [MAC]
(arp -s 192.168.85.212 00-aa-00-62-c6-09)

-DNS SPOOFING: Suplantación de identidad por nombre de dominio. Se trata del falseamiento de una relación "Nombre de dominio-IP" ante una consulta de resolución de nombre, es decir, resolver con una dirección IP falsa un cierto nombre DNS o viceversa. Esto se consigue falseando las entradas de la relación Nombre de dominio-IP de un servidor DNS, mediante alguna vulnerabilidad del servidor en concreto o por su confianza hacia servidores poco fiables. Las entradas falseadas de un servidor DNS son susceptibles de infectar (envenenar) el caché DNS de otro servidor diferente.

-WEB SPOOFING: Suplantación de una página web real (no confundir con phising). Enruta la conexión de una víctima a través de una página falsa hacia otras páginas WEB con el objetivo de obtener información de dicha víctima (páginas WEB vistas, información de formularios, contraseñas etc.). La página WEB falsa actúa a modo de proxy solicitando la información requerida por la víctima a cada servidor original y saltándose incluso la protección SSL. El atacante puede modificar cualquier información desde y hacia cualquier servidor que la víctima visite. La víctima puede abrir la página web falsa mediante cualquier tipo de engaño, incluso abriendo un simple LINK. El WEB SPOOFING es difícilmente detectable, quizá la mejor medida es algún plugin del navegador que muestre en todo momento la IP del servidor visitado, si la IP nunca cambia al visitar diferentes páginas WEB significará que probablemente estemos sufriendo este tipo de ataque.

-MAIL SPOOFING: Suplantación en correo electrónico de la dirección e-mail de otras personas o entidades. Esta técnica es usada con asiduidad para el envío de e-mails hoax como suplemento perfecto para el uso de phising y para SPAM, es tan sencilla como el uso de un servidor SMTP configurado para tal fin. Para protegerse se debería comprobar la IP del remitente (para averiguar si realmente esa ip pertenece a la entidad que indica en el mensaje) y la dirección del servidor SMTP utilizado. Otra técnica de protección es el uso de firmas digitales.

Shadow es un programa de ordenador que permite mejorar el sistema de contraseñas ofreciendo algunas ventajas sobre el estándar previo de almacenaje de contraseñas en Unix y Linux. En las versiones más recientes de Linux no es necesario instalarlo puesto que ya viene incluido.
Shadow borra las claves secretas codificadas del fichero /etc/passwd, que necesariamente es legible para todos, y las sitúa en el fichero /etc/shadow el cual solo puede leer el root.
Para habilitar contraseñas ocultas y contraseñas ocultas para grupo tenemos los comandos pwconv y grpconv respectivamente.

Ataque Nukes: Dicho ataque consiste en enviar paquetes de datos ICMP fragmentados o de alguna otra forma inválidos a un objetivo, lo que se consigue usando una herramienta de ping modificada para enviar estos datos corruptos una y otra vez, ralentizando la computadora afectada hasta que deje de funcionar. En los juegos en línea, "nukear" es mandar mensajes uno tras del otro a uno o varios usuarios, en rápida sucesión, que contienen texto al azar. Dichas técnicas también se ven en programas de mensajería instantánea ya que el texto repetido puede ser asignado a una macro o AppleScript. Hoy en día, los sistemas operativos modernos son resistentes a esas técnicas, y la mayoría de los juegos en línea traen "control de inundación" (flood control).

Firma digital o firma electrónica es, en la transmisión de mensajes telematematicos y en la gestion de documentos electronicos, un metodo criptográfico que asocia la identidad de una persona o de un equipo informático al mensaje o documento. En función del tipo de firma, puede, además, asegurar la integridad del documento o mensaje.
La firma electrónica, como la firma olografa (autografa, manuscrita), puede vincularse a un documento para identificar al autor, para señalar conformidad (o disconformidad) con el contenido, para indicar que se ha leido o, según el tipo de firma, garantizar que no se pueda modificar su contenido.

Data Encryption Standard (DES) es un algoritmo de cifrado, es decir, un método para cifrar información, escogido como FIPS en los Estados Unidos cuyo uso se ha propagado ampliamente por todo el mundo. El algoritmo fue controvertido al principio, con algunos elementos de diseño clasificados, una longitud de clave relativamente corta, y las continuas sospechas sobre la existencia de alguna puerta trasera para la National Security Agency (NSA). Posteriormente DES fue sometido a un intenso análisis académico y motivó el concepto moderno del cifrado por bloques y su criptoanálisis. Hoy en día, DES se considera inseguro para muchas aplicaciones.

Agujero de seguridad es un fallo en un programa que permite mediante su explotación violar la seguridad de un sistema informático.
Esto también se ha comenzado a aplicar a los servicios web, tales como páginas web, correo, IRC, MSN, chat, etc, con el objetivo de obtener información de personas que usen el servidor. A las personas que buscan errores en los sitios webs se les llama hackers.

Desbordamiento de buffer (buffer overflow o buffer overrun) es un error de software que se produce cuando se copia una cantidad de datos sobre un área que no es lo suficientemente grande para contenerlos, sobrescribiendo de esta manera otras zonas de memoria. Como consecuencia, se producirá una excepcion del acceso a memoria seguido de la terminación del programa o, si se trata de un usuario obrando con malas intenciones (Craker), la explotacion de una vulnerabilidad o agujero de seguridad.

Phishing es un término utilizado en informática con el cual se denomina el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta, como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria. El estafador, mejor conocido como phisher se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico o algún sistema de mensajería instantánea.
La gran mayoría de Phishing utiliza fallos en el Internet Explorer, por eso es recomendable que Use Firefox con la barra Google la cual incorpora una herramienta anti phishing totalmente gratis, o bien puedes usar cualquiera del software anti phishing.

Sacado de la Wikipedia

No se te olvide!!

2008-03-31T16:33:00.000-07:00

Sabado 26 de Abril del 2008 El Festival Latinoamericano de Instalación de Software Libre (FLISOL) es el evento de difusión de Software Libre más grande en Latinoamérica ahora en Medellin Colombia. Se realiza desde el año 2005 y su principal objetivo es promover el uso del software libre, dando a conocer al público en general su filosofía, alcances, avances y desarrollo.
Ya esta cerca...

Tomado de: http://www.installfest.info/

Video de Bill Gates Jajaja

2008-03-28T19:30:00.000-07:00

Que pesar de este pequeño magnate fundador de la empresa Microsoft, productora del sistema operativo para computadoras personales más utilizado en el mundo. Creador de las versiones de Windows. Este video es un poco cruel pero me gusta compartirlo con ustedes mirelon y me dicen que opinan.

Videos de Linux

2008-03-27T17:48:00.000-07:00

Este es un pequeño video donde explican una minima parte de como empezo Linux, quien lo creo, cuando lo sacaron, como lo distribuyeron por primera vez y lo importante que es dicho Sistema Operativo. Esta muy bueno espero les guste y que me agreguen comentarios para ver si agrego otros que tengo que les pueden interesar.

PRIMERA PARTE

SEGUNDA PARTE
TERCERA PARTE
CUARTA PARTE
QUINTA PARTE

Como el video no me pudo adjuntar, me toco publicar los links, son 5 partes distintas que encontre en www.youtube.com porque entero no lo encontre.

Ejercicios de squid

2008-03-26T04:59:00.000-07:00

A medida que vemos squid han puesto unos ejercicios que documentare con la solucion previa. Para que miren lo que puede hacer este proxy.

Politicas de seguridad
Restringir el uso de internet

-Crear listas negras "acl" (archivos) para bloquear los siguientes contenidos: porno, chat, correos, deportes, descargas, juegos. Para cada categoria se debe crear una lista negra en las cuales agregamos los registros que deseamos.
Ejemplo de lo que contiene el archivo Porno.
En la consola de comandos como root creamos el archivo porno en /etc/squid/
touch porno
ahora lo editamos
pico porno

Escribimos las palabras "claves" con las que negaremos esta clase de paginas ejemplo: en cada linea una debajo de la otra.
xxx
XXX
SEXO
sexo
porno
(asi las que deseamos)

-Creadas las listas negras bloquearemos a todos los usuarios de la red la navegacion a estos sitios web.
En acl se especifica lo que haremos con esta opcion
acl Porno url_regex "/etc/squid/porno"
Y con la siguiente linea le indicamos que hara si aceptarla (allow) o denegarla (deny).
http_access deny porno

-Bloquear a todos los usuarios descargas (.exe, .iso, .zip, .rar) reproduccion de archivos (.mp3, .mpg, .wav)
Politica para archivos multimedia.
acl multimedia urlpath_regex \mp3.$ \.mpg$ \.wav$
http_access deny multimedia
Politica para archivos de descargas.
acl instaladores urlpath_regex \.exe$ \.rar$ \.zip$ \.iso$
http_access deny instaladores

-La navegacion debe restringirse a horarios locales de lunes a viernes de 8:00 am a 12:00 am y de 13:00 pm a 16:30 pm.
acl horario time MTWHF 08:00-12:00
acl Horario time MTWHF 13:00-16:30
http_access allow horario red
http_access allow Horario red

-Existe un usuario sin ninguna restriccion con la ip 10.3.6.248 (Profesor)
acl profe src 10.3.6.248
http_access allow profe
-Los usuarios de la red pueden acceder a paginas de correo gratuito y chat solamente en horas de almuerzo (12:00 am -- 13:00 pm)
acl HorarioAlmuerzo time MTWHF 12:00-13:00 (basta con una linea de estas)
como tenemos dos listas de control de acceso Correos y Chat nos taca especificar claramente loq ue deseamos. Aunque podriamos crear otra contenga todos los parametros.
http_access allow Chat HorarioAlmuerzo red
http_access allow Correos HorarioAlmuerzo red

-Configurar el proxy para que trabaje como transparente (que el usuario no tenga conciencia de su existencia) solo le agregamos tranparent en la siguiente linea.
http_port 10.3.6.205:3128 transparent
Para que esto se cumpla debemos darle en consola una regla de iptables que nos dice. Todo lo que venga por eth0 con destino el puerto 80 lo redireccione al puerto 3128. Todo en una sola linea.
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Aclaro que las lineas que estan en negrita son las mas importantes van en el archivo de configuracion squid.conf otras, es muy importante el ordenen que acomodamos las reglas (http_access ...) porque de eso depende que todas se cumplan. A continuacion muestro todas las lineas del archivo de configuracion del squid montado de acuerdo mis necesidades.

http_port 10.3.6.205:3128 transparent

icp_port 0

cache_mem 32 MB
cache_dir ufs /var/spool/squid 100 16 256
cache_peer proxy2.sena.edu.co parent 80 0 default

acl profe src 10.3.6.248
acl horario time MTWHF 08:00-12:00
acl Horario time MTWHF 1:00-4:30
acl HorarioAlmuerzo time MTWHF 12:00-13:00
acl Chat url_regex "/etc/squid/chat"
acl Correos url_regex "/etc/squid/correos"
acl Deportes url_regex "/etc/squid/deportes"
acl Descargas url_regex "/etc/squid/descargas"
acl Juegos url_regex "/etc/squid/juegos"
acl Porno url_regex "/etc/squid/porno"
acl multimedia urlpath_regex \mp3.$ \.mpg$ \.wav$
acl instaladores urlpath_regex \.exe$ \.rar$ \.zip$ \.iso$
acl imagenes urlpath_regex \.jpg$ \.png$ \.jif$
acl correo dst www.hotmail.com
acl noquiero dst www.yahoo.com
acl all src 0.0.0.0/0.0.0.0
acl red src 10.3.6.128/255.255.255.128

visible_hostname localhost

http_access allow profe
http_access allow Chat HorarioAlmuerzo red
http_access deny Chat
http_access allow Correos HorarioAlmuerzo red
http_access deny Correos
http_access deny Deportes
http_access deny Descargas
http_access deny Juegos
http_access deny porno
http_access deny multimedia
http_access deny instaladores
http_access deny imagenes
http_access deny correo
http_access deny noquiero
http_access allow horario red
http_access allow Horario red
http_access deny all

request_header_max_size 10 KB
request_body_max_size 512 KB
reply_body_max_size 512 KB

Recargamos el servicio /etc/init.d/squid restart desde la consola y con esto concluimos la configuracion.

Inesperado!!!!!!

2008-03-25T15:01:00.000-07:00

Hoy 25 de Marzo del 2008 al regreso de "vacaciones" de semana santa, llegue al salon un poquito tarde y prendi el computador en que trabajo y me encontre con la sorpresa de que habian formateado e instalaron Ubuntu. Lo peor de todo es que se borro todo y que yo ya tenia instalado mi squid y me funcionaba super, ese baldado de agua fria me cayo de sorpresa lo mejor de todo es que hice un respaldo (backup) del archivo del Squid y fue mas facil configurarlo,me sirvio mucho. Lo otro malo es que casi no tengo conocimientos en Ubuntu solo habia trabajado en Debian. Pero como ahi que verle lo positivo a todo, pues no me cayo mal adquirir conocimientos en Ubuntu asi me familiarizo mas con este sistema operativo que es muy famoso de la familia Unix.
Con lo que concluyo llena de dolor ohhh mi Linux Debian... Pero no me paso a mi sola jajajaja.

Mozilla Firefox

2008-03-20T18:58:00.000-07:00

Para los que no saben ya salio la nueva version del navegador web Mozilla Firefox 3.0 Beta que incluye mas de 900 mejoras con respecto a la version anterior. Solo lo descargas del sitio oficial y lo instalas, escoge el idioma y la plataforma en que lo vas a instalar y listo.
Descarga los plugins del suguiente sitio web e instalalos y quedara listo tu navegador Firefox.

OpenGEU una distribuccion de linux

2008-03-19T18:53:00.000-07:00

Debido a los anteriores problemas que a tenido la empresa Canonical con las restricciones de marcas de sus productos a decidido renombrar la distribucion anteriormente conocida Geubuntu por OpenGEU basada en Ubuntu. Los que no conocen esta distribuccion, les cuento que viene de Italia, está basada en la popular Ubuntu y tienee entorno gráfico predeterminado Enlightenment E17. Se encuentra en la version 7.10 llamada Luna Nuova.
Si quieres lee mas sobre esta distribuccion visitando su pagina web oficial.

Como configurar Squid Proxy???

2008-03-13T11:58:00.000-07:00

Para empezar explicare la función de cada línea y a medida que voy avanzando procuro dar ejemplos. Las lineas que tengan el signo de numero "#" al comienzo quiere decir que es en consola y como administrador (root).

CONFIGURACION DEL SERVIDOR PROXY SQUID

# apt-get install squid --> Instalamos el paquete de squid

La primer recomendacion que hare es que a el archivo original squid.conf le saquemos una copia para no tener que modificar o leer mas de 3.000 lineas que este contiene. Para copiar o mover el archivo (mv) le daremos los siguientes comandos en la consola

# cd /etc/squid/
explicacion: nos paramos en el directorio "squid"

# mv /etc/squid/squid.conf /etc/squid/squid.old
explicacion: mueva /etc/squid/squid.conf a /etc/squid/squid.old (.old quiere decir archivo viejo)

# touch /etc/squid/squid.conf (nuevo archivo en blanco el de nuestra configuracion)
explicacion: cree un archivo llamado squid.conf

#pico squid.conf

Ahora si empezamos la configuracion en el nuevo archivo.
Puerto del squid: En esta opcion indicaremos el puerto por el cual squid escuchara las peticiones de los usuarios, por defecto tiene el 3128 pero tambien pueden usar el 8080. Es comun que squid escuche por cualquiera de estos dos puertos.
http_port 10.3.6.152:3128

Especificamos la ip de nuestro equipo porque en caso de tener dos interfaz el servicio saldria por las dos.

Puerto para compartir la cahe.
icp_port 0 (la dejamos por defecto "0=cero")

Cantidad de memoria fisica (RAM) que utilizara la cache.
Esto depende de la cantidad de memoria que tiene nuestro equipo.
cache_mem 32 MB

Ruta y espacio en disco duro donde se almacenara la cache: que por defecto trae predeterminado 100 MB si desea ampliarla solo es cuestion de modificar el 100 por la cantidad deseada. Pero ahi que tener en cuenta que si el tamaño que le damos es mayor que el del disco real, squid se bloqueara.
cache_dir ufs /var/spool/squid 100 16 256

100=tamaño en la cache
16=cantidad de directorios
256=cantidad de subdirectorios
En caso de tener otro disco se le cambia la ruta "/var/spool/squid" (spool=colas)

Lista de control de acceso (ACL), esta opcion nos permite decidir quienes tienen acceso a Squid y quienes no, a que paginas pueden acceder o las que podamos denegar.

Especificamos el rango de IPs que tendran acceso al proxy para que puedan tener salida a internet.

acl all src 0.0.0.0/0.0.0.0
acl red src 10.3.6.128/255.255.255.128

acl=lista de control de acceso
all=acepte
dst=direccion destino en la que podemos poner una url, dominio, direccion ip
src=direccion de origen
red=nombre de la zona ala que le daremos acceso a cualquier maquina que tenga una ip en el rango de 10.3.6.128 con mascara de 255.255.255.128

Ejemplo: para denegar una pagina determinada, el nombre de la zona puede ser cualquiera.
acl correo dst www.hotmail.com
acl noquiero dst www.yahoo.com

Ejemplo: Para que cuando los usuarios miren paginas con contenido de imagenes y no las puedan ver le agregamos la siguiente linea. (.jpg y las otras son la extension de imagenes).
acl imagenes urlpath_regex \.jpg$ \.png$ \.jif$

otra forma de darle acceso a los computadores es agregar las ip estaticas(no cambian) en un archivo determinado.
ejemplo: /etc/squid/permitidos
acl listado src "/etc/squid/permitidos"
ejemplo de lo q contiene el archivo permitidos
10.3.6.64
10.3.6.56

Para que las reglas de control de acceso se cumplan tenemos que especificar que haremos con ellas. (las linea por defecto es "http_access deny all" que significa deniegue todo)

http_access deny imagenes <-- no mostrara ninguna imagen http_access deny correo <-- deniegue la zona correo osea hotmail http_access deny noquiero <-- deniegue la zona noquiero osea yahoo http_acceess allow red <--acepte la zona llamada red http_access deny all <-- deniegue todo lo que no este permitido Cuando al proxy le llega una petición, se comprueba en orden (de arriba hacia abajo) cada regla hasta que alguna sea aplicable y, cuando se aplique, ya no se miran las demas reglas. Opciones para ajustar la cache. Con esto controlamos el tamaño de los ficheros que pueden bajar los usuarios:
request_header_max_size 10 KB
request_body_max_size 512 KB
reply_body_max_size 512 KB

Ahora guardamos los cambios nos salimos a la consola. Antes de recargar en la consola le damos el siguiente comando, squid -z para que nos cree los dir que especificamos en "cache_dir ..." Si en el momento de hacer el squid -z nos saca un error asi " Please set 'visible _hostname' " le agregamos la siguiente linea arribita de http_accerr deny.....
visible_hostname localhost

Y ahora recargamos el servicio y lo corremos como un demonio.
# /etc/init.d/squid start (start=iniciarlo, restart=reiniciarlo, stop=pararlo)

Cada vez que apliquemos alguna configuracion debemos recargar el servicio.
Y no es por demas decir que para poder probar nuestro proxy tenemos que poner en el navegador (browser) la direccion ip del proxy. Ejemplo con Mozilla Firefox en ingles.
>En la parte de arriba del navegador ahi una opcion "Tools"
>Despues "Options..."
>En la pestaña de "Advanced"
>Le damos en la subpestaña "Network" y
>Ponemos el chulito en "Manual proxy configuration" y en los cuadritos ponemos la ip y el puerto. Asi HTTP Proxy: 10.3.6.152 Port: 3128

Agregar Proxy padre, para salir ha internet.
Si nuestro squid no es el unico proxy corriendo y ahi un "padre" dependiendo de la jerarquia, solo ahi que comunicar el nuestro con el proxy principal.En este ejemplo comunicaremos el squid que hemos configurado con el proxylan.sena.edu.co que es el que nos da la salida a internet.
cache_peer proxylan.sena.edu.co parent 8080 0 default

¿Como miramos que el servicio si esta corriendo?
En la consola le damos el comando:
netstat -an | more <-- nos mostrara los puertos de los servicios que estan corriendo, si nos muestra el 3128 o el del proxy es porque el servicio esta arriba. Este signo | "es una tuberia" que nos muestra un poco mas simple el netstat -an. Ahora para probar solo intentamos navegar ha algun sitio web que denegamos o filtramos y listo. Para concluir les mostrare las unicas lineas de configuracion del archivo squid.conf, para que copien y peguen en el de ustedes y solo modifiquen unas cosas de acuerdo a sus necesidades.

RESUMEN:
http_port 10.3.6.152:3128
icp_port 0
cache_mem 32 MB
cache_dir ufs /var/spool/squid 100 16 256
cache_peer proxylan.sena.edu.co parent 8080 0 default

acl imagenes urlpath_regex \.jpg$ \.png$ \.jif$
acl correo dst www.hotmail.com
acl noquiero dst www.yahoo.com
acl all src 0.0.0.0/0.0.0.0
acl red src 10.3.6.128/255.255.255.128
visible_hostname localhost

http_access deny imagenes
http_access deny correo
http_access deny noquiero
http_access allow red
http_access deny all

request_header_max_size 10 KB
request_body_max_size 512 KB
reply_body_max_size 512 KB

Algo para reir

2008-03-13T11:16:00.000-07:00

Hoy 13 de Marzo a las 10:50 am, mi compañera Ana se sentó mal en una silla, se le resbalo, la pobre callo de nalgadas y la reacción de nosotros fue reírnos. Lo ciento por ella le debió doler y porque le dije que no publicaría esto; pero fue una mentirilla piadosa lo siento espero me disculpes pero es algo para recordar porque fue en un momento donde todo el mundo estaba callado y coincidió la caída.

Ojala tu family te aplique alguna pomada... Jajajajaja
Fue muy muy chistoso, porque ni el profe Camilo se aguanto la risa. ¡Que pesar! Sóbate.

Posdata: no se la gocen mas por caridad a ella. A mis compañeros del salon que lean esto opinen plissss...

Un buen reggaeton "Shorty"

2008-03-11T15:54:00.000-07:00

Shorty!!!!!

Esta cancion la canta Jowell y Randy, unos cantantes de reggaeton conocidos por otras canciones como Hola bebe, Sensacion del bloque entre otras, me gusta mucho el ritmo de la cancion y la letra en pocas palabras trata de un muchacho que no puede enamorarce de la "shorty" porque no le combiene y ademas ella dice que es grande pero parece una niña, de corta edad...

¿Que son los Mime Type?

2008-03-11T08:51:00.000-07:00

MIME (Multipurpose Internet Mail Extensions) es un acrónimo de extensiones multipropósito de correo de internet.
Es un standard que especifica como debe un programa (principalmente correo o navegador web) transferir archivos multimedia (video, audio, imágenes). Mime adjunta un archivo de cabecera a cada archivo, especificando el tipo y el subtipo del contenido del archivo principal. Al utilizar esta informacion tanto el servidor como el navegador pueden manejar y presentar correctamente los datos.
La importancia de los Mime Types es cada vez que el usuario solicita una pagina de internet se abre un diálogo entre nuestro navegador y el servidor. Nuestro navegador pide la página, el servidor antes de enviarla, nos confirma que ese recurso existe, y el tipo de datos que contiene. Esto último, mediante referencia al tipo MIME al que corresponde. Este diálogo, oculto al usuario, es parte de las cabeceras del protocolo HTTP.
Prácticamente todos los mensajes de correo electrónico escritos por el hombre en Internet y una proporción considerable de estos mensajes generados automáticamente son transmitidos en formato MIME a través de SMTP.

Los tipos de MIME son:
Imagen .bmp, .gif, .jpg, .png
Sonido .wma, .mov, mp3
Video .avi, .mpg, .mov, .swf, .flv

¿Ya tienes tus distrubuciones de linux?

2008-03-11T04:39:00.000-07:00

Canonical una empresa privada fundada y financiada por Mark Shuttleworth, para la promocion de proyectos relacionados con el software libre extiende su repertorio. Ahora no solo puedes pedir CDs de UBUNTU, sino tambien EDUBUNTU y KUBUNTU totalmente gratis y te llegara a tu casa.

Antes de pedir tus cds crea tu cuenta con la cual solicitaras los cds (importante que des correctamente la direccion, telefono, ciudad y barrio pues ahi te enviaran los cd's) cuando ingreses a la plataforma das clic en New cuent alli te solicitan una direccion de e-mail en la parte de arriba (email y contraseña es por si ya te haz registrado abajo para usuarios nuevos) si eres nuevo ingresas tu e-mail en la parte de abajo (debajo del titulo Not registered yet?) ingrese la direccion de e-mail, (tiene que ser una direccion de e-mail existente pues te enviaran un correo de verificacion), te metes a tu correo (el que ingresaste) abres el mensaje que te llego (Launchpad) y verificas el enlace; aqui es donde te solicitan toda la informacion, luego de verificar (en el link de verificaccion dentro del mensaje) este te redirecciona (te lleva a otra pagina) a una pagina web en la que debes ingresar tu correo sigue los pasos dando una contraseña y nombre. Ahora si puedes dar clic en los enlaces que aca dejo para que obtengas tus CDs.
Has click en los siguientes link para pedir los tuyos, pero para esto necesitas una cuenta de correo y es importante llenar los espacios en el formulario que dicen (Required).
Algo muy importante en los links que doy, es que ahi dos opciones, una para descargarlos (DOWNLOAD) y en la que ahi que darle para pedir los cds (REQUEST CDs).

Espero les sirva y que obtengan las distribuciones de los sistemas operativos Linux totalmente gratis.

Squid proxy

2008-03-10T09:09:00.000-07:00

Es un programa de software libre que implementa un servidor proxy y un demonio para cache de paginas web, publicado bajo licencia GPL.Tiene varias utilidades, desde acelerar un servidor web, guardando en cache peticiones constantes a DNS y compartiendo recursos de la red con un grupo de gente.
Squid esta diseñado para ser ejecutado en un entorno UNIX.
Unas de las caracteristicas son:

Proxy cache de HTTP, FTP: Squid proporciona un servicio de proxy que soporta peticiones HTTP (Protocolo de Transferencia de Hipertexto), HTTPS (Es una version segura del protocolo http) y FTP (Protocolo de Transferencia de Archivos) de equipos que necesitan acceder a internet y tambien tiene la funcionalidad de cache en la cual almacena de forma local (en el) las paginas consultadas por los usuarios recientemente. De esta forma incrementa la rapidez de acceso a los servidores de informacion Web y FTP que estan fuera de la red interna (LAN).

Control de acceso: Ofrece la posibilidad de establecer reglas. Esto permite establecer politicas de acceso en forma centralizada.

Jerarquias de cache: Varios proxys trabajan conjuntamente atendiendo las peticiones de paginas. Un navegador solicita las paginas a un solo proxy, si este no tiene la pagina almacenada en la cache hace peticiones a sus "hermanos". Estas peticiones se hacen mediante dos protolocos HTTP e ICMP.

Cache transparante: Squid puede ser configurado para ser usado como proxy transparente de manera que las conexiones son enrutadas dentro del proxy sin ser configurado por parte del cliente y sin que este conozca de la existencia del squid.

Cache de resolucion de DNS: Squid esta compuesto tambien por le programa dnsserver, que se encarga de la busqueda de nombres de dominio.

Squid tiene predefinido el puerto 3128 para atender peticiones, pero tambien se puede especificar que lo haga en cualquier otro puerto disponible o que lo haga en varios puertos a la vez.

Acontecimientos

2008-03-07T04:15:00.000-08:00

En el dia de hoy un compañero encendio el Pc y no le cargaba, se le informo al profesor y el concluyo que era un problema con la fuente ATX. Buscamos en paginas web y encontramos la solucion. Que es la siguiente.

Éste método consiste en conectar el molex o conector de electricidad a la fuente de poder y colocar un clip o cualquier otra cosa que sea conductora de electricidad que una el cable verde del conector (el único verde[5V]) con un cable negro (cualquier negro[neutro o tierra]).

Con este método debemos tener cuidado porque podríamos quemar el computador siempre y cuando éste tenga un corto o algún defecto, si el computador está en perfecto estado el encender de esta forma no debería producir ningún tipo de daño.

Si depronto ha alguno de ustedes le sucede esto, espero que la informacion que acabo de documentar les sea util o si encuentran otra la pueden agregar como comentarios.

Iceweasel vs. Mozilla

2008-02-29T16:47:00.000-08:00

La GNU ha tomado cartas en el asunto y ha comenzado el desarrollo de su propia versión totalmente libre (logo y nombre incluidos) de todo el software de Mozilla, bajo el nombre de Gnuzilla. Concretamente, IceWeasel (Comadreja de Hielo) es el nombre elegido para sustituir a Firefox, una gran diferencia hacia el nombre original (porque Hielo no es Fuego y Comadreja no es Zorro).

Debian, y prácticamente todas las distribuciones basadas en ella, tiene la opción de usar el IceWeasel de GNU para hacer su propio paquete de Firefox, o seguir su propio caminio y renombrar Firefox a alguna otra cosa distinta de "IceWeasel".
Actualmente es el navegador por defecto de Debian Etch. Thunderbird y SeaMonkey se renombraron a IceDove y IceApe respectivamente, de la misma forma y por la misma razón.

Tecnologia DSU/CSU

2008-02-29T04:28:00.000-08:00

Introducción a los Servicios Digitales

Con el uso creciente de comunicaciones digitales dentro de la red de teléfono de voz el acceso del subscriptor digital vino. Las compañías telefónicas extendieron sus servicios y ofrecieron cauces digitales crudos para comunicaciones de los datos. Éste, en términos simples, es un Experto canal (channel—except) de la voz digital normal que el interruptor acepta los datos directamente en formato digital en lugar de aceptar un cauce analógico y convertirlo al formato digital. Hoy es posible obtener 64 Kbps especializados (56 Kbps en América del Norte) en las líneas, de la compañía telefónica.
Los servicios de los datos digitales son ofrecidos por la mayoría los portadores del teléfono con el propósito de tener un servicio de la transmisión arrendado todos-digital. Generalmente se ofrecen servicios de la transmisión digitales a una velocidad de 56K bps. Los servicios de la transmisión digitales permiten transmitir los datos de la fuente al destino en su forma digital original. Transmitiendo en forma digital elimina la necesidad de convertir los signos a una forma analógica y entonces atrás a digital al extremo del destino.

El DSU/CSU

La Unidad de Servicio de Datos (DSU) reemplaza el módem en una línea de servicio de datos digital. El DSU actúa como una interface entre un dispositivo que envía información digital y el propio servicio digital. El DSU puede realizar traducción señalada, regeneración de los datos, señalización del mando, probando síncrono, reformateando, y cronometrando. El DSU convierte datos digitales al formato bipolar para la transmisión encima de una línea digital. El signo bipolar también proporciona la función de mantener el clocking tase de la línea.

La Unidad de Servicio de Cauce (CSU) se usa para unir entre el DSU y el equipo del cauce interior de los datos digitales repare proveedor. El CSU termina la línea digital y pasos físicamente la información digital al DSU. El CSU mantiene funcionalidad del loopback verificando líneas a la Oficina Central (CO).

Seguridad Perimetral

2008-02-28T17:35:00.000-08:00

Se conoce como perímetro de la red a la frontera entre el exterior y las computadoras y servidores internos. Este se forma por los equipos que brindan conexión a Internet a las computadoras de la red, así como aquellos que las protegen de accesos externos. Equipos como los gateways, proxys y firewalls forman parte de este perímetro.

Contar con protección antivirus a este nivel es importante dado que brinda una capa adicional de protección a las que nombramos en series anteriores, protegiendo a nivel de servidores varias de las entradas más comunes de los virus informáticos, antes de que puedan ingresar en la red interna.

Un antivirus en el perímetro de la red debe ser capaz de revisar por la existencia de virus los protocolos más utilizados (HTTP, FTP, POP3, SMTP, IMAP, entre otros).
El protocolo HTTP es el utilizado para la conexión a páginas de Internet; el protocolo FTP es usado para la descarga y transferencia de archivos a servidores que lo soporten; y los protocolos POP3 / IMAP y SMTP son los utilizados para el envío y recepción de correo electrónico.
Estos protocolos también pueden ser protegidos en otros niveles:

- HTTP / FTP: en las estaciones de trabajo y servidores de archivo de la red, los cuales deben contar con una protección antivirus inevitablemente.
- POP3 / IMAP / SMTP: tanto en las estaciones de trabajo y servidores de archivos, como en los propios servidores específicos de correo electrónico.

Existen casos donde no siempre es necesario contar con protección a este nivel, pero lo cierto es que cuantas más capas de seguridad tengamos, más protegidos estaremos.
Un caso donde es altamente deseable contar con una protección antivirus en el perímetro es cuando se tiene el servidor de correo electrónico fuera, para que sea capaz de analizar tanto el tráfico web como el de correo electrónico que sale y entra a la red interna de la compañía.

La mayor ventaja de utilizar este tipo de herramientas de seguridad antivirus es evitar el ingreso de virus informáticos a nuestra red. Aunque seguramente el antivirus instalado en las estaciones de trabajo y servidores será capaz de detectar las amenazas, frenarlas antes de que estén transmitiéndose internamente evitará picos de saturación de la red (manteniendo el rendimiento normal de la misma), así como no tener que confiar en una sola barrera de protección.
Además, este tipo de antivirus normalmente se integran con otras aplicaciones como firewalls o proxys, lo cual es un valor agregado que nos permite contar con una sola aplicación capaz de brindarnos varios niveles de seguridad.

Una solución integrada a nivel de perímetro, capaz de utilizar más de un antivirus al mismo tiempo proveerá una mayor protección, por lo que es bueno analizar la posibilidad de contar con un software de seguridad capaz de soportar estas configuraciones, y así poder contar con las virtudes propias de varios productos antivirus para proteger la entrada y salida de información de nuestra red.

Aunque existen gran cantidad de soluciones antivirus para estaciones de trabajo y servidores de correo electrónico (los casos que analizábamos en nuestras tres entregas anteriores), la oferta de productos para perímetro es mucho mayor, dado que muchos fabricantes de software que no cuentan con un antivirus propio, ofrecen soluciones capaces de integrarse con otros productos y que incluyen herramientas adicionales (firewalls, filtrado de tráfico y de correo, etc).

Sintetizando, la protección antivirus a nivel de perímetro es importante, pero no indispensable. Contando con protección en las estaciones de trabajo y los servidores de correo electrónico ya tenemos una fuerte barrera frente a los virus informáticos. Sin embargo, si quiere dormir mucho más tranquilo, tener una capa de seguridad antivirus en el perímetro de la red será un escollo más que los virus deberán cruzar y le dará herramientas adicionales para detenerlo.

Cadenas de Iptables

2008-02-28T14:39:00.000-08:00

Qué es iptables?

IPtables es un sistema de firewall (Corta fuegos) vinculado al kernel de linux que se ha extendido enormemente a partir del kernel 2.4 de este sistema operativo. Un firewall de iptables no es como un servidor que lo iniciamos o detenemos o que se pueda caer por un error de programación (esto es una mentira, ha tenido alguna vulnerabilidad que permite DoS, pero nunca tendrá tanto peligro como las aplicaciones que escuchan en determinado puerto TCP): iptables esta integrado con el kernel, es parte del sistema operativo y esta disponible en practicamente todas las distribuciones de linux actuales.

¿Cómo se pone en marcha? Realmente lo que se hace es aplicar reglas. Para ellos se ejecuta el comando iptables, con el que añadimos, borramos, o creamos reglas. Por ello un firewall de iptables no es sino un simple script de shell en el que se van ejecutando las reglas de firewall.

El kernel de linux posee (predefinidas "de fábrica") 3 tablas de reglas:

1.Filter table (Tabla de filtros) — Esta tabla es la responsable del filtrado (es decir, de bloquear o permitir que un paquete continúe su camino). Todos los paquetes pasan a través de la tabla de filtros. Contiene las siguientes cadenas predefinidas y cualquier paquete pasará por una de ellas:
INPUT chain (Cadena de ENTRADA) — Todos los paquetes destinados a este sistema atraviesan esta cadena (y por esto se la llama algunas veces LOCAL_INPUT o ENTRADA_LOCAL).
FORWARD chain (Cadena de REDIRECCIÓN) — Todos los paquetes que meramente pasan por este sistema (para ser encaminados) recorren esta cadena.
OUTPUT chain (Cadena de SALIDA) — Todos los paquetes creados por este sistema atraviesan esta cadena (a la que también se la conoce como LOCAL_OUTPUT o SALIDA_LOCAL).

Cada paquete TCP/IP que ingresa/atraviesa/sale desde/hacia una maquina con iptables funcionando, pasará por la cadena INPUT, FORWARD o OUTPUT respectivamente. Las cadenas,no son mas que un listado de reglas, con las cuales controlamos cada uno de los paquetes que pasan. Ahora, que es una regla?. Una regla consta de 2 partes, y no es mas que una condición y una acción. Si se cumple la condición se ejecuta la acción.

2. NAT table (Tabla de traducción de dirección de red) — Esta tabla es la responsable de configurar las reglas de reescritura de direcciones o de puertos de los paquetes. El primer paquete en cualquier conexión pasa a través de esta tabla; los veredictos determinan como van a reescribirse todos los paquetes de esa conexión. Contiene las siguientes cadenas redefinidas:
PREROUTING chain (destination-NAT o traducción de direcciones de red de destino) (Cadena de PRERUTEO) — Los paquetes entrantes pasan a través de esta cadena antes de que se consulte la tabla de ruteo local, principalmente para DNAT.
(POSTROUTING chain (Cadena de POSRUTEO) — Los paquetes salientes pasan por esta cadena después de haberse tomado la decisión del ruteo, principalmente para SNAT (source-NAT o traducion de direcciones de origen).
OUTPUT chain (Cadena de SALIDA) — Permite hacer un DNAT limitado en paquetes generados localmente.

3.Mangle table (Tabla de destrozo) — Esta tabla es la responsable de ajustar las opciones de los paquetes, como por ejemplo la calidad de servicio. Todos los paquetes pasan por esta tabla. Debido a que está diseñada para efectos avanzados, contiene todas las cadenas predefinidas posibles:
PREROUTING chain (Cadena de PRERUTEO) — Todos los paquetes que logran entrar a este sistema, antes de que el ruteo decida si el paquete debe ser reenviado (cadena de REENVÍO) o si tiene destino local (cadena de ENTRADA)
INPUT chain (Cadena de ENTRADA) — Todos los paquetes destinados para este sistema pasan a través de esta cadena
FORWARD chain (Cadena de REDIRECCIÓN) — Todos los paquetes que exactamente pasan por este sistema pasan a través de esta cadena
OUTPUT chain (Cadena de SALIDA) — Todos los paquetes creados en este sistema pasan a través de esta cadena
POSTROUTING chain (Cadena de POSRUTEO) — Todos los paquetes que abandonan este sistema pasan a través de esta cadena.

No es por demas explicar que si un paquete atravesó todas las reglas de una cadena, sin hallar coincidencia, iptables se fijará en la politica por defecto de esa cadena(default policy).
Antes de trabajar iptables es muy importante tener claro lo siguiente:

--Conocimientos previos en linux y TCP/IP.
--El kernel de linux trae 3 cadenas de reglas (INPUT, FORWARD y OUTPUT).
--Con iptables se pueden agregar/eliminar reglas (entre otras cosas).

Ejemplo de como utilizar iptables mas especificado.

Una parte fue tomada de la Wikipedia enciclopedia libre.

Algunos Terminos

2008-02-27T15:48:00.000-08:00

Activo: Recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos.
Amenaza: Es un evento que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos.
Impacto: Medir la consecuencia al materializarse una amenaza.
Riesgo: Posibilidad de que se produzca un impacto determinado en un Activo, en un Dominio o en toda la Organización.
Vulnerabilidad: Posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo.
Ataque: Evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.
Desastre o Contingencia: Interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para la operación normal de un negocio.
Politica: Las reglas generales de comportamiento definidas para la
interacción entre los usuarios y los activos informáticos. Las políticas son
independientes de los ambientes propios de la entidad y representan la base de un modelo de seguridad.

Metodologia de Analisis de Riesgo

2008-02-27T07:26:00.000-08:00

A continuacion hare una descripcion de los pasos con que debe contar una metodologia del analisis de riesgo, la cual se considera el punto central de la definicion de una estrategia de seguridad, perfectamente alineada con la vision de la organizacion dentro de su entorno de operacion.

Mediante este tipo de aproximación a la organización, se busca entender los diferentes aspectos que la conforman, tanto en el aspecto tecnológico, como en los procesos críticos, los cuales a su vez, son soportados por las aplicaciones y la infraestructura tecnológica.
Los siguientes elementos seran identificados en el marco de la norma de seguridad ISO17799.

-Descripcion de la organizacion y sus objetivos. Entendimiento de la organizacion, sus areas funcionales y su ubicacion geografica.
-El levantamiento de la infraestructura de tecnologia existente, en el cual se especificara y detallara la plataforma de hardware, software, comunicaciones y procesos utilizados.
-Listas de verificacion de la infraestructura Tecnologica: El objetivo de la lista de chequeo es identificar las vulnerabilidades de las plataformas tecnologicas.

Evaluacion de Riesgo
La evaluacion de riesgos identifica las amenazas, vulnerabilidades y riesgo de la informacion, sobre la plataforma tecnologica de una organizacion, con el fin de denegar un plan de implementacion de los criterios de disponibilidad, confidencialidad e integridad de la informacion.
Algunos puntos a favor son: La probalidad de la una amenaza. La magnitud del impacto sobre el sistema, la cual se mide por el nivel de degradacion de uno o combinacion de alguno de los siguientes elementos; confidencialidad, disponibilidad, integridad.

Determinacion de la probabilidad
Con el fin de derivar una probabilidad o una estimación de la ocurrencia de un evento, los siguientes factores deben ser tomados en cuenta:
-Fuente de la amenaza y su capacidad.
-Naturaleza de la vulnerabilidad.
La probabilidad que una vulnerabilidad potencial pueda ser explotada por una fuente de amenaza la podemos clasificar en:

Identificacion de Vulnerabilidades.
Para identificar las vulnerabilidades se utilizan herramientas como listas de verificacion y herraientas de software, que determinan vulnerabilidades a nivel del sistema operativo y firewall.
-Seguridad Fisisca: Desastres naturales, control de acceso, control de incendios, inundaciones.
-Seguridad en las conexiones a internet: Politicas en el firewall, VPN, deteccion de intrusos.
-Seguridad en la infraestructura de comunicaciones: Routers, Switches, Hubs y RAS.

Presentacion

2008-02-26T16:25:00.000-08:00

Bienvenidos a el blog de trabajos para seguridad informatica del SENA,en Administracion de Redes.
En el que mostrare el desarrollo de dudas y respuestas de los problemas que vamos planteando a medida que avanzamos en el modulo.
Cuando publique cosas, espero comentarios y opiniones que me ayuden amejorar mi blog; para seguirlas y tomarlas en cuenta.

Att: Alexandra Amaya.