Vamos a repasar un poco la ‘nula’ seguridad que tienen los routers wifi que solemos tener en casa. Los famosos ‘kit autoinstalables’ no son en absolutos seguros, las famosas redes WLAN_XX, JAZTEL_XX,etc…

Todas las contraseñas de estos routers son faciles de saltar por defecto.  Repasaremos en varios articulos como ‘auditar’ estas redes y demostrar lo facil que  podemos saltarnos estas redes. Uno de los primeras cosas que tendriamos que hacer para aumentar nuestra seguridad, en estos routers serian:

- Cambiar en nombre de nuestra red Wifi.
- Cambiar la contraseña de nuestra red.
- Seguridad WPA, nunca WEB
- Desactivar el DHCP por defecto.
- Activar el filtrado Mac
- No hacer visible nuestra red Wifi.

Con estos pasos, nuestra red seria algo mas segura, aunque no imposible de saltar.

Una de las distribuciones mas usadas para auditar estas redes, es Wifiway, un CD-Live con todas las herramientas necesarias.

Otra de las cosas que necesitaremos sera una tarjeta de red Wifi, compatible con WifiWay. Una de las tarjetas mas populares es la tarjeta Wifi Conceptronic C54RU.  Pero hace poco he estado probando la tarjeta USB TP-LINK (TL-WN422G), con esta tarjeta se logra tener mas cobertura de redes Wifi, y mayor señal de las redes a nuestro alcance.

Esta vez vamos a usar una versión no estándar de WifiWay. WifiWay se encuentra actualmente en la version 1.0, y suele venir con el escritorio KDE, pero nosotros en este caso vamos a usar la versión con escritorio LXDE, ya que se encuentra mas actualizada que la versión  1.0 estándar, y en la que lograremos ejecutar sin ningun problema nuestra tarjeta TP-LINK. Descargamos la version .iso de esta distribucion y la grabaremos en un CD

http://download.wifislax.com:8080/wifiway-1.0-lxde.iso

Una vez grabado nuestro CD, encenderemos el ordenador con el CD introducido en la unidad, y arrancaremos la version de WifiWay.  En las siguientes pantallas simplemente seleccionaremos la distribución de nuestro teclado y en que zona horaria nos encontramos. Los  pantallazos de estos pasos son estos:

Primero seleccionamos en que zona nos encontramos, en nuestro caso ‘Europa/Madrid’

Después tendremos que seleccionar que teclado queremos usar, en nuestro caso ‘Spanish (ISO-8859-15)’.

Dejamos pasar unos minutos para que cargue el resto del Sistema Operativo  y después de unos minutos ya tenemos el CD listo para lanzar el entorno gráfico, con el comando ’startx’ como se nos muestra en la pantalla.

Ya tenemos nuestro escritorio de trabajo listo, y continuaremos en el siguiente articulo.

Hola llevo estos días configurando un poco Squid para bloquear el acceso a ciertas paginas en mi servidor, y vamos a comentar un pequeño truco para acelerar la conexión en nuestro equipo, usando Squid como proxy en nuentra conexion a internet.

Con ello lograremos acelear algo nuestra conexión, utilzando el proxy cache de squid.

Lo primero que debemos asegurarnos, es tener instalados los paquetes bind9 y squid.

El funcionamiento es muy sencillo,  cada vez que se haga una petición de una pagina web nuestro navegador solicitara la pagina a nuestro proxy cache.  En el caso de no estar disponible, se consultara a nuestro servidor de DNS Bind9 en local, que obtendrá si es necesario el enlace solicitando  a traves de nuestro servidor de DNS de nuestro proveedor habitual  (en este caso sera Google Public DNS)

Una vez instalado los paquetes necesarios editaremos el archivo  /etc/bind/named.conf.option

Reemplazando la sección:

# forwarders {
#  0.0.0.0;
# 0.0.0.0;
};

Por esta otra:

forwarders {
8.8.8.8;
8.8.4.4;
};

Ya solo nos falta configurar nuestro proxy en nuestro equipo.  Para ello vamos al Menu Sistema ->Prefencias ->Proxy de la Red, y añadimos nuestra ip local, y el puerto 3218 que es el usado por defecto en Squid.

Reiniciamos los 2 nuevos servicios que hemos configurado

sudo /etc/init.d/bind9  restart
sudo /etc/init.d/squid  restart

Solo nos faltaría configurar nuestro navegador preferido para usar esta configuración. En Chromium no he tenido que configurar nada, y en Firefox se hace de esta manera

Podemos ver que todo esta funcionando mirando el log de Squid, en /var/log/squid/access.log

Vaya Semanita: Algunos padres, hartos de no poder encasquetar sus bebés a nadie han decidido coger las armas.

La Agencia de Protección de Datos (APD) ha multado a Telefónica de España S.A.U. con una multa de 60.101,21€ por la infracción del articulo 4.3 de la LOPD, tipificada como grave en el articulo 44.3.d) de la citada Ley Orgánica y conformidad con los artículos  44.2, 45.4 y 45.5 de la LOPD.

Parece que por fin termino con todo este lío, que comenzó hace mas de un año.

Que mas puede pedir uno Galactica+Bohemian Rhapsody.

La seria que mas me ha echo disfrutar en los ultimos años, acompañada de la mitica cancion de Queen.

Tendremos que espera unos meses, para continuar con ‘Caprica’

Visto AQUI

Podemos creernos todo lo que aparece en las series,peliculas? Es todo real?

Me ha encantado el vídeo

Visto AQUI

Ya se puede ver desde hace un tiempo los videos de YouTube en alta calidad Full HD (1080p de resolución)

Que mejor video que este por ejemplo, pinchar en ‘HD’ (debe quedar marcado con fondo rojo) y luego en pantalla completa, se ven hasta los pelos !!!

Este martes se cumplen 18 años de la muerte de Freddie Mercury.

01. We Will Rock You
02. We Are The Champions
03. Radio Ga Ga
04. Another One Bites The Dust
05. I Want It All
06. Crazy Little Thing Called Love
07. A Kind Of Magic
08. Under Pressure
09. One Vision
10. You’re My Best Friend
11. Don’t Stop Me Now
12. Killer Queen
13. These Are The Days Of Our Lives
14. Who Wants To Live Forever
15. Seven Seas Of Rhye
16. Heaven For Everyone
17. Somebody To Love
18. I Want To Break Free
19. The Show Must Go On
20. Bohemian Rhapsody

Me he decidido a instalar la versión de 64bits de Ubuntu 9.10.

Primer problema, Google Gears no esta soportado oficialmente para la arquitectura de 64bits. Segun vemos en la Wikipedia:

Gears (anteriormente llamado Google Gears^[1] ) es un software ofrecido por Google, el que permite crear aplicaciones webs más poderosas, añadiendo nuevas capas de aplicación al navegador. Su licencia es BSD y, a febrero de 2009, la última versión pública es la 0.5.

Gears consiste en una aplicación que se instala como una extensión de navegador, que agrega una API que permite programar en javascript algunas interacciones con los componentes instalados localmente por la aplicación.

Este software viene incluido en Google Chrome y posee extensiones para instalarse en Internet Explorer 6.0+, Mozilla Firefox , Safari y Opera Mini (a partir de la versión 9.5), y funciona en los sistemas operativos Windows 2000, XP y Vista, Windows Mobile 5 y 6, MacOS y Linux de 32 bits.

Después de buscar un poco, la solución esta por ejemplo aquí:

http://code.google.com/p/gears/issues/detail?id=335#c33

Continuamos con la versión de 64Bits y el futuro Ubuntu 9.10

Otros lo intentaron, pero no lo consiguieron, pulsar PLAY

Si ese mismo, ese mismo, al final se consiguio… objetivo cumplido.

La ministra de Sanidad, Trinidad Jiménez, ha reconocido este miécoles que “quizá estemos exagerando un poco” en todo lo que rodea a la epidemia de H1N1, ya que se trata de una enfermedad con menores efectos que la gripe estacional. La titular de Sanidad responde así a las crecientes críticas de los colegios de médicos, que han denunciado la alarma exagerada. Jiménez ha matizado que “los médicos han querido mandar un mensaje de tranquilidad”, lo que le parece “muy razonable”, según ha señalado en la rueda de prensa posterior a su reunión con el ministro de Educación, Ángel Gabilondo, y las asociaciones de padres de alumnos.

Visto en El Pais

Una versión de una de mis canciones preferidas de siempre.  No conocía esta versión, pero esta canción siempre me ha gustado mucho, alguien la conoce?

Siempre me ha traído buenos recuerdos, y me encanta su solo de Saxo. La cantante es ‘Stevie Ann’

Otra versión de la misma canción es esta:

One Year Of Love

6 años no son nada, solo el comienzo  :-)

La mejor explicación que he encontrado, es la que se encuenta en Wikipedia.

El golpeo de puertos (del inglés port knocking) es un mecanismo para abrir puertos externamente en un firewall mediante una secuencia preestablecida de intentos de conexión a puertos que se encuentran cerrados. Una vez que el firewall recibe una secuencia de conexión correcta, sus reglas son modificadas para permitir al host que realizó los intentos conectarse a un puerto específico.

El propósito principal del PK es prevenir un escanéo de puertos por parte de un atacante que busca posibles servicios vulnerables. Como los mismos solo se abren ante un pk correcto, los puertos donde se brindan los servicios se muestran aparentemente cerrados.

Por lo general este mecanismo se implementa configurando un demonio para que revise la bitácora o log del firewall para detectar esta secuencia de intentos de conexión. Otra forma es tener un proceso examinando paquetes con alguna interfaz de captura de paquetes, pero esto tiene que hacerse en puertos TCP que se encuentren “abiertos”.

La idea es simple, poder acceder mediante ’ssh’ remotamente a un servidor desde una IP dinámica, en donde solo unas IPs fijas están permitidas por el cortafuegos.

La instalación en nuestro servidor Ubuntu, es simplemente instalar el paquete ‘knocker’.

Antes tenia montado un script en donde se comprobaban las direcciones ip, de los dominios ‘no-ip.org’ que tenia asignados a varios usuarios. Pero cuando el numero de equipos (dominios no-ip.org asignados) empieza a crecer, no es una solución valida, ya que se tienen que comprobar cada X minutos que las direcciones de estos equipo no han cambiado, y actualizar las reglas del  cortafuegos.

El demonio de Knock escuchara los intentos de acceso a los puertos que hemos definido, y si la secuencia es correcta en el tiempo que se ha definido, ejecutara la regla que nosotros hemos definido (dar acceso a esa IP a una conexión SSH).

Por seguridad, pasados X segundos, borraremos esa misma regla de nuestro cortafuegos, impidiendo nuevas conexiones desde esa IP.

Una vez instalado el paquete en nuestro servidor, editaremos el archivo ‘/etc/knockd.conf’, que es donde definiremos que secuencia de ‘golpeos’ sera valida,  y que acciones se ejecutaran, ante una llamada nuestra.

En la primera sección definimos  el archivo log de Knockr. Lo realmente importante esta definido en la sección [SSH].
Definimos en un principio la secuencia de puertos a los que tendremos que llamar ( sequence = 1000,2000,3000) y el tiempo que tendremos para hacer una llamada a estos puertos (5 segundos).

Si se detecta esta secuencia de llamada, añadiremos durante 20 segundos (cmd_timeout   = 20) una regla a nuestro cortafuegos permitiendo acceso mediante SSH a esa dirección IP en concreto (/sbin/iptables -I INPUT 1 -s %IP% -p tcp –dport 22 -j ACCEPT).
Pasados esos 20 segundos, borraremos esa regla en nuestro cortafuegos, impidiendo nuevos accesos a esa IP (/sbin/iptables -D INPUT -s %IP% -p tcp –dport 22 -j ACCEPT)

De nuevo recurrimos a Wikipedia para explicar su funcionamiento:

Paso 1 El cliente no puede conectarse a una aplicación que se encuentra escuchando en el puerto n. El cliente no puede establecer una conexión con ningún pueerto

Paso 2 El cliente intenta conectarse a un conjunto predefinido de puertos en secuencia, enviando ciertos paquetes. El cliente tiene conocimiento previo del demonio de golpeo de puertos y su configuración, pero no recibe ninguna respuesta durante esta fase ya que las reglas del firewall no lo permiten.

Paso 3 El demonio de port knocking intercepta los intentos de conexión y los decodifica para verificar un golpeo auténtico. El servidor realiza tareas específicas basadas en el golpeo de puertos, como abrir otros puertos para el cliente.

Paso 4 El cliente se conecta al puerto n y se autentica mediante el mecanismo normal de la aplicación que escucha en ese puerto.

En el cliente también también tendremos que instalar el paquete knocker para hacer la llamada a los puertos que  están monitorizados por nuestro servidor con knorck. También hay clientes para Windows, Mac, Iphone

Ya podríamos conectarnos a nuestro servidor. Para automatizar este proceso un poco, tengo un script ‘toc-toc.sh’ en mi cliente, que lanza una conexión ssh en Nautilus cada vez que quiero entrar en mi servidor remoto.

Antes de lanzar mi conexión SSH, llamo mediante knock a la dirección IP de mi servidor 100.123.34.32, con la secuencia ‘1000,2000,3000′

Puedes ampliar la información aquí:

https://help.ubuntu.com/community/PortKnocking

http://www.linuca.org/body.phtml?nIdNoticia=275

Despues de unos cuantos meses sin publicar nada, hemos vuelto, voy a intentar tener este Blog mas actualizado, intentare añadir cosas mas a menudo, y mantener este Blog vivo.

Tengo varias entradas en la cabeza, Knock, Suse Studio, rsync, paso a paso.