tag:blogger.com,1999:blog-48456354477041198272024-03-18T19:55:42.062-07:00TAREAS DE SEGURID@DCrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.comBlogger37125tag:blogger.com,1999:blog-4845635447704119827.post-87779354614994136452008-07-01T07:55:00.000-07:002008-07-01T08:36:13.135-07:00Vulnerabilidades en Equipos<span style="font-weight: bold; font-style: italic;">En esta entrada veremos como detectamos vulnerabilidades en un equipo con el nessus.</span><br /><span style="font-weight: bold; font-style: italic;">El resultado del escaneo nos mostro varias vulnerabilidades pero en esta entrada</span><br /><span style="font-weight: bold; font-style: italic;">solo vamos a mostrar una</span><br /><br /><a style="font-weight: bold; font-style: italic;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgzBaHkBIMAi55iej4QbLAiLAJwk0_4CLUM14aIsTiAaSikh_ZMw866LwOVgtb02xD6-w87UVuFo3bo_KRhG7yaO4e4b6gp6Bmb5yAUAbeaP4szS8C179N3WMuzFurKQWiMsluPBMKDPQfH/s1600-h/Pantallazo.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgzBaHkBIMAi55iej4QbLAiLAJwk0_4CLUM14aIsTiAaSikh_ZMw866LwOVgtb02xD6-w87UVuFo3bo_KRhG7yaO4e4b6gp6Bmb5yAUAbeaP4szS8C179N3WMuzFurKQWiMsluPBMKDPQfH/s320/Pantallazo.png" alt="" id="BLOGGER_PHOTO_ID_5218063773371851602" border="0" /></a><span style="font-weight: bold; font-style: italic;">este seria el resultado de el analizis de vulnerabilidades que se hizo y esta seria la vulnerabilidad que vamos a analizar</span><br /><br /><br /><span style="font-weight: bold; font-style: italic;">esta seria la traduccion de la vulnerabilidad para que ñla podamos entender</span><br /><br /><span style="font-weight: bold; font-style: italic;">statd el mando a distancia de servicios puede ser vulnerable a un ataque de formato de cadenas</span><br /><br /><span style="font-weight: bold; font-style: italic;">esto significa que un atacante puede ejecutar código arbitrario gracias a un error en este demonio</span><br /><br /><span style="font-weight: bold; font-style: italic;">sólo las versiones antiguas de statd bajo linux se ven afectados por este problema</span><br /><br /><span style="font-weight: bold; font-style: italic;">***Nessus reporta esta vulnerabilidad usando soloinformacion que se reunio</span><br /><span style="font-weight: bold; font-style: italic;">***tenga cuidado al utilizar ensayos sin controles de seguridad habilitado</span><br /><br /><span style="font-weight: bold; font-style: italic;">Solucion:actualizar a la versión más reciente de rcp.statd</span><br /><span style="font-weight: bold; font-style: italic;">Factor de Riego: alto</span><br /><span style="font-weight: bold; font-style: italic;">CVE : CVE-2000-0666,CAN -2000-0800</span><br /><span style="font-weight: bold; font-style: italic;">BID : 1480</span><br /><br /><br /><span style="font-weight: bold; font-style: italic;">y en conclucion la solucion para esta vulnerabilidad seria actualizar el paqute rcp.statd y el problema se solucionara</span>CrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com0tag:blogger.com,1999:blog-4845635447704119827.post-8959264643009949122008-06-27T06:35:00.000-07:002008-06-27T06:48:04.333-07:00Configuracion IPSec en Windows<span style="font-weight: bold; font-style: italic;">En esta entrada vamos aver como es la configuracion de ipsec en windows </span><br /><span style="font-weight: bold; font-style: italic;">lo primero es abrir una consola de administracion y lo hacemos de la siguiente forma.Damos clic en </span><span style="font-style: italic; font-weight: bold;">"inicio"</span><span style="font-weight: bold; font-style: italic;">, "</span><span style="font-style: italic; font-weight: bold;">ejecutar"</span><span style="font-weight: bold; font-style: italic;">, copiamos mmc y damos enter esto es para que nos aparezca una consola de administracion.</span><br /><br /><div style="text-align: center; font-weight: bold; font-style: italic;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEghofnm059LMlwWxveBEkOU_gCkXQeqCHvbflIVl08ohC83c6e-BupEdc7jZUNAZbgDZCEmsmM6ORdr-bMnBrR-3gnEpGAaFMlvhKyZNw-MX6V9ZJJX32Rb-Up1nCJOiUvIMn0anpjesXkO/s1600-h/1.jpg"><img style="cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEghofnm059LMlwWxveBEkOU_gCkXQeqCHvbflIVl08ohC83c6e-BupEdc7jZUNAZbgDZCEmsmM6ORdr-bMnBrR-3gnEpGAaFMlvhKyZNw-MX6V9ZJJX32Rb-Up1nCJOiUvIMn0anpjesXkO/s320/1.jpg" alt="" id="BLOGGER_PHOTO_ID_5215452941072603490" border="0" /></a><br /></div><br /><span style="font-weight: bold; font-style: italic;">Después de haber dado enter nos aparecerá la siguiente ventana en esta ventana damos clic en en </span><span style="font-style: italic; font-weight: bold;">"archivo"</span><span style="font-weight: bold; font-style: italic;"> y en "</span><span style="font-style: italic; font-weight: bold;">agregar o quitar complemento"</span><span style="font-weight: bold; font-style: italic;">.</span><br /><br /><a style="font-weight: bold; font-style: italic;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh1uSWk1m1iVWVUdgKf2aCvOvbEJgMZSm-VGJVqcoJ3WXkh0ehzjdhAYmhrla6yfj_BXhiJaeHWYwbpI6LGlv9TrwZC71xLicBdEiO59PU5Vb20YmV-wy9sPBQqmKQPQPtGvZVDzMfvZcGt/s1600-h/2.jpg"><img style="cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh1uSWk1m1iVWVUdgKf2aCvOvbEJgMZSm-VGJVqcoJ3WXkh0ehzjdhAYmhrla6yfj_BXhiJaeHWYwbpI6LGlv9TrwZC71xLicBdEiO59PU5Vb20YmV-wy9sPBQqmKQPQPtGvZVDzMfvZcGt/s320/2.jpg" alt="" id="BLOGGER_PHOTO_ID_5215453261681033554" border="0" /></a><br /><span style="font-weight: bold; font-style: italic;">Luego nos saldrá la siguiente pestaña en el cual escogeremos que consola de administracion queremos.le damos click en agregar</span><br /><br /><div style="text-align: center; font-weight: bold; font-style: italic;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhiglIahEcqpBtQxlEfY69yXRJBwHvlA43LKxT_A-BWoQGLfnCXi10euNxjcApVxZXMh6OS_B3abVC4Z4cCh469p5q6iemKR-8whbvCMD-nSZbS713fpGlGAojnZyE7TitjM97DxoWr3IqQ/s1600-h/3.jpeg"><img style="cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhiglIahEcqpBtQxlEfY69yXRJBwHvlA43LKxT_A-BWoQGLfnCXi10euNxjcApVxZXMh6OS_B3abVC4Z4cCh469p5q6iemKR-8whbvCMD-nSZbS713fpGlGAojnZyE7TitjM97DxoWr3IqQ/s320/3.jpeg" alt="" id="BLOGGER_PHOTO_ID_5215453671670134674" border="0" /></a><br /><br /><br /><div style="text-align: left;">En la nueva ventana que nos aparecio escojemos la opcion "<span>ip security policy management" </span>y le damos <span>"add"</span> nos aparecera otra ventana la cual nos pregunta en que equipo vamos agregar el complemento, le damos en <span>"equipo local"</span> y<span> "finish</span>", despues seleccionaremos el otro complemento que sera<span> "ip security monitor" </span>le damos clic en "<span>add"</span> y luego en <span>"close"</span>.<br /><br /><br /><div style="text-align: center;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgWtGGOaukW5eSHNtp4xmzdEYkFlhMMe8HL1tDdCyT8qnr2qCdgQvk-p_noWcxL8nniPbrlKHkL94MAd6wIZ3gF159OJaz-x0oFiFTQGEZpaXPSPCvh7c0El6ASrrmd4elsc_DoWG_dClXN/s1600-h/4.jpeg"><img style="cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgWtGGOaukW5eSHNtp4xmzdEYkFlhMMe8HL1tDdCyT8qnr2qCdgQvk-p_noWcxL8nniPbrlKHkL94MAd6wIZ3gF159OJaz-x0oFiFTQGEZpaXPSPCvh7c0El6ASrrmd4elsc_DoWG_dClXN/s320/4.jpeg" alt="" id="BLOGGER_PHOTO_ID_5215455895805381826" border="0" /></a></div></div></div><span style="font-weight: bold; font-style: italic;">Aqui nos muestran las consolas que seleccionamos y luego de estar seguros de que escogimos las correctas damos clic en </span><span style="font-style: italic; font-weight: bold;">"aceptar"</span><span style="font-weight: bold; font-style: italic;">.</span><br /><br /><a style="font-weight: bold; font-style: italic;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhln7VawWb7hjn-mb-7SQyH9kE7u4NsMVs5g5hHkzlLiqjnwcdmlN8wuRov6rwEMxZWeDUvs7r7VV80bxkS_nbducKn5JQM8_0IT7yHA6x-IHhpJlVspPqLnGQq2Zu5S2KioAZGiohQHgkH/s1600-h/5.jpeg"><img style="cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhln7VawWb7hjn-mb-7SQyH9kE7u4NsMVs5g5hHkzlLiqjnwcdmlN8wuRov6rwEMxZWeDUvs7r7VV80bxkS_nbducKn5JQM8_0IT7yHA6x-IHhpJlVspPqLnGQq2Zu5S2KioAZGiohQHgkH/s320/5.jpeg" alt="" id="BLOGGER_PHOTO_ID_5215456460197916994" border="0" /></a><br /><br /><span style="font-weight: bold; font-style: italic;">Despues de terminar lo anterior nos apareceran las opciones de configuracion de ipsec. Ya con esto empezaremos a configurar politicas de ipsec.</span><br /><span style="font-weight: bold; font-style: italic;">-primero damos clic derecho en </span><span style="font-style: italic; font-weight: bold;">"directivas de seguridad" </span><span style="font-weight: bold; font-style: italic;">(</span><span style="font-style: italic; font-weight: bold;">ip security policy management</span><span style="font-weight: bold; font-style: italic;">) y le damos clic en </span><span style="font-style: italic; font-weight: bold;">"crear directiva de seguridad ip".<br /><br /></span><a style="font-weight: bold; font-style: italic;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhRRrI-BTnY2bdtivpJqz7KVE4RgeydsOwh8PSI3jqi91aclM-x3-u4tpIkb9I8Sz8-8n-Zmr1kf6xvukDawPz2OjO_9e8qXSXKrAHYO9s_eahhvmmAFGll7c5gNvdWVu2g0dtE1-UIORh1/s1600-h/6.jpg"><img style="cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhRRrI-BTnY2bdtivpJqz7KVE4RgeydsOwh8PSI3jqi91aclM-x3-u4tpIkb9I8Sz8-8n-Zmr1kf6xvukDawPz2OjO_9e8qXSXKrAHYO9s_eahhvmmAFGll7c5gNvdWVu2g0dtE1-UIORh1/s320/6.jpg" alt="" id="BLOGGER_PHOTO_ID_5215457401571813810" border="0" /></a><br /><br /><br /><span style="font-weight: bold; font-style: italic;">Nos aparecera un asistente de configuracion</span><br /><br /><a style="font-weight: bold; font-style: italic;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgoirXUD-LdZ9twe6kIhj80dsX2dWlK7lMlUGkpk5PPpX7RlEatuo4a5DDLBbG6rTTS4QS10RHC_eLq4vXP4v715araDiO5lg59Jqaijl-pWY05UpubDlwa2Z4o9Q0KDDx3mTdt71Ck3ZVo/s1600-h/7.jpeg"><img style="cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgoirXUD-LdZ9twe6kIhj80dsX2dWlK7lMlUGkpk5PPpX7RlEatuo4a5DDLBbG6rTTS4QS10RHC_eLq4vXP4v715araDiO5lg59Jqaijl-pWY05UpubDlwa2Z4o9Q0KDDx3mTdt71Ck3ZVo/s320/7.jpeg" alt="" id="BLOGGER_PHOTO_ID_5215457986532627458" border="0" /></a><br /><br /><span style="font-weight: bold; font-style: italic;">Nos saldra una un recuadro donde debemos ingresar el nombre y la descripcion de la nueva directiva luego damos clic en </span><span style="font-style: italic; font-weight: bold;">"siguiente"</span><span style="font-weight: bold; font-style: italic;">.</span><br /><br /><a style="font-weight: bold; font-style: italic;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjkrN7Jj1agbOkTnnSRLWcclkmrqyY1X4sbs4wbqBjrmXgk6P8eRuViI26xaZ3YXDzzSLJQFGhQXukpo80J3MZrNjF7aK3Klg4Tjpn4kye_gSOaOQP3ezmk7jG86Ewhc8HFsHT4VTa4L8Hj/s1600-h/8.jpeg"><img style="cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjkrN7Jj1agbOkTnnSRLWcclkmrqyY1X4sbs4wbqBjrmXgk6P8eRuViI26xaZ3YXDzzSLJQFGhQXukpo80J3MZrNjF7aK3Klg4Tjpn4kye_gSOaOQP3ezmk7jG86Ewhc8HFsHT4VTa4L8Hj/s320/8.jpeg" alt="" id="BLOGGER_PHOTO_ID_5215458971375572786" border="0" /></a><br /><br /><br /><br /><span style="font-weight: bold; font-style: italic;">Luego nos saldra el siguiente cuadro el cual nos esta dice si queremos activar la regla de respuesta predeterminada, esto es para que los equipos remotos cundo soliciten seguridad se le responda y se le solicite seguridad en la comunicacion.</span><br /><br /><div style="text-align: center; font-weight: bold; font-style: italic;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjdByXxDlFliMPu5ki0pPjcfEnsLRKLVmMYPhAX-DPxOLUSdcTJ4FOFTdhjP8_9PC0so2bRxXRrKPkgGyMiPRH9YdJs4t8vYWeGuqXSRSM-w5TkDFuUJy5d5gbzkQ9M6xnvFL0F3rgtutRY/s1600-h/9.jpeg"><img style="cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjdByXxDlFliMPu5ki0pPjcfEnsLRKLVmMYPhAX-DPxOLUSdcTJ4FOFTdhjP8_9PC0so2bRxXRrKPkgGyMiPRH9YdJs4t8vYWeGuqXSRSM-w5TkDFuUJy5d5gbzkQ9M6xnvFL0F3rgtutRY/s320/9.jpeg" alt="" id="BLOGGER_PHOTO_ID_5215501827222022850" border="0" /></a><br /><br /><br /><div style="text-align: left;">Luego nos aparecera un cuadro en el cual especificaremos la llave precompartida.<br /><br /><div style="text-align: center;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgiOtFlY3_y1ISyWUSmxxS6brvf9UtQND9psFmPivW7VBkU_vA1uCcaFVZpQfsjVu8_gnpJI6EUKz8h90jABrue70K5lO1vThyphenhyphenVmO4EmynShF0RvyfMsyCqgAALinLMjx-2rVlPqDNrtzeo/s1600-h/10.jpg"><img style="cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgiOtFlY3_y1ISyWUSmxxS6brvf9UtQND9psFmPivW7VBkU_vA1uCcaFVZpQfsjVu8_gnpJI6EUKz8h90jABrue70K5lO1vThyphenhyphenVmO4EmynShF0RvyfMsyCqgAALinLMjx-2rVlPqDNrtzeo/s320/10.jpg" alt="" id="BLOGGER_PHOTO_ID_5215502103709989314" border="0" /></a><br />-Damos clic en siguiente y nos aparecera que ya hemos terminado la de crear la directiva:-Le damos clic en finalizar.<br /><br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi1TEpuL7Wgr1Ya0oorkbaBpN0xj3kZg8i8SYXzjyH1PogjDs_hIbMwKl3JhQIpGVl88IhIyafyEViVmPFGooCA1ocDhbgotwoC_gZruiigUVm7jCI0rp9nRkKg4SSYU0fIOm3vH_4eQZ-Y/s1600-h/11.jpeg"><img style="cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi1TEpuL7Wgr1Ya0oorkbaBpN0xj3kZg8i8SYXzjyH1PogjDs_hIbMwKl3JhQIpGVl88IhIyafyEViVmPFGooCA1ocDhbgotwoC_gZruiigUVm7jCI0rp9nRkKg4SSYU0fIOm3vH_4eQZ-Y/s320/11.jpeg" alt="" id="BLOGGER_PHOTO_ID_5215502941864008258" border="0" /></a><br /><div style="text-align: center;"><br /><div style="text-align: left;">Al darle clic en finalizar nos aparecerá un cuadro donde podemos agregar reglas para nuestra directiva. para no tener inconvenientes desactivamos la opcion de <span>usar asistente para agregar</span> (<span>use add Wizard</span>) que se encuentra en la parte inferior de la ventana y luego damos clic en <span>agregar</span>.<br /><br /><div style="text-align: center;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhd-XJ5ydCH6mVKoqVXPPNhleYw1FoCj52h8U-AlslUnfEhiBwovBTn2VDn5OgcZzr7EMoXfIKTVDoOEiPw6sG2CUawYv6Foxg1FObKfSr8x4AQFFT3AOPc80uWzPV9Q4FOEy1BwiXt6qb5/s1600-h/12.jpg"><img style="cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhd-XJ5ydCH6mVKoqVXPPNhleYw1FoCj52h8U-AlslUnfEhiBwovBTn2VDn5OgcZzr7EMoXfIKTVDoOEiPw6sG2CUawYv6Foxg1FObKfSr8x4AQFFT3AOPc80uWzPV9Q4FOEy1BwiXt6qb5/s320/12.jpg" alt="" id="BLOGGER_PHOTO_ID_5215503613795837730" border="0" /></a><br /><br /><br /><div style="text-align: left;">Nos aparecera este cuadro el cual nos permite hacer un filtrado de ip (<span>IP filter list</span>) y le daremos clic en <span>agregar</span>.<br /><br /><div style="text-align: center;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjMDDBpSUwZdc87eUJTovdZPnJVWTtPbBaBp8cCJ33Ia6u88pOQQO55gx5I1BU48fhKRkmItDQGH-7M01NOf6PjbRDnHtmuot5bxnsU6jZjkbFZ0CZkhED68ZSh3kT5QgQ8F7lcHI6QVe99/s1600-h/13.jpg"><img style="cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjMDDBpSUwZdc87eUJTovdZPnJVWTtPbBaBp8cCJ33Ia6u88pOQQO55gx5I1BU48fhKRkmItDQGH-7M01NOf6PjbRDnHtmuot5bxnsU6jZjkbFZ0CZkhED68ZSh3kT5QgQ8F7lcHI6QVe99/s320/13.jpg" alt="" id="BLOGGER_PHOTO_ID_5215503920398885826" border="0" /></a><br /><br /><br /><div style="text-align: left;"><br />Luego de que le dimos clic en agregar nos aparecerá un recuadro en el cual le colocaremos el nombre ala regla de filtrado y tambien desactivamos el asistente (<span>use add Wizard</span>) luego de colocar el nombre le damos cilc en <span>edit</span>.<br /><br /><div style="text-align: center;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg2g0nIzgW4IoWliPnpvISwUGbyxLPmFgWJ7ee_HxW73cP6aNWBsYYJW4icHjBsJUtbtnBn6qNcOh1FjZu-WS50lsxbwE9_hE12GZTZZzeyv2RIHuaavoEIFXn9sDN2oFnXuTWAtJHZ2BWh/s1600-h/14.jpeg"><img style="cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg2g0nIzgW4IoWliPnpvISwUGbyxLPmFgWJ7ee_HxW73cP6aNWBsYYJW4icHjBsJUtbtnBn6qNcOh1FjZu-WS50lsxbwE9_hE12GZTZZzeyv2RIHuaavoEIFXn9sDN2oFnXuTWAtJHZ2BWh/s320/14.jpeg" alt="" id="BLOGGER_PHOTO_ID_5215504539754425058" border="0" /></a><br /><br /><br /><br /><div style="text-align: left;">En esta ventana especificaremos desde la direccion ip origen y la direccion ip de destino, luego pasamos ala siguiente pestaña.<br /><br /><div style="text-align: center;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhk7ri-WM7BG4LTJ0EGJzpuNfIpOahlY0C08MhyphenhyphenQfpSHiJSIfNi-Rgnju_BDTRJV5bKV2_Ue-40zNYrB94vqkYscz-PeuKb3ELpkN16Li3weAfsdXSOZg3Am2CZmLF1BlhAtHAhnIx5_3Jy/s1600-h/15.jpeg"><img style="cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhk7ri-WM7BG4LTJ0EGJzpuNfIpOahlY0C08MhyphenhyphenQfpSHiJSIfNi-Rgnju_BDTRJV5bKV2_Ue-40zNYrB94vqkYscz-PeuKb3ELpkN16Li3weAfsdXSOZg3Am2CZmLF1BlhAtHAhnIx5_3Jy/s320/15.jpeg" alt="" id="BLOGGER_PHOTO_ID_5215508429486961730" border="0" /></a><br /><br /><br /><br /><div style="text-align: left;">En esta pestaña especificaremos el protocolo que utlizaremos.Si deseamos podemos ponerle una descripcion a la regla. Para finalizar damos clic en <span>ok</span> a todas las ventanas que nos aparezcan.<br /><br /><div style="text-align: center;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjUJdKPQ1kNoFNKZVZcKmrpLt_1IltMbb3Yg2jzPuHwXrx1XrO4hJK8yU3SgZZpfJfoFgISdd_D-rAsT3xh8QooKtJsqOy9iLvUd_RIWVcKzZj9gAwfkh-PMJLzuAQI82l8omtJIqXDvnv4/s1600-h/16.jpeg"><img style="cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjUJdKPQ1kNoFNKZVZcKmrpLt_1IltMbb3Yg2jzPuHwXrx1XrO4hJK8yU3SgZZpfJfoFgISdd_D-rAsT3xh8QooKtJsqOy9iLvUd_RIWVcKzZj9gAwfkh-PMJLzuAQI82l8omtJIqXDvnv4/s320/16.jpeg" alt="" id="BLOGGER_PHOTO_ID_5215508798436616002" border="0" /></a><br /><br /><div style="text-align: left;">Despues escogemos la pestaña <span>Filter action</span> (<span>accion de filtrado</span>) y le damos clic en <span>agregar.<br /><br /></span><div style="text-align: center;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh2QJWPd8LSVMXQ0teIobcQ_t10bsArUwMBZ7az4KaR1h2BJc0qUdkdXCU-a2yaRG5N1IfobGsUwCLHJ43idqHH5Zl-kduciGAqOq95EYEZZnwAJ84MSkO2usCsylZyuvOUQlkz43lXOwF0/s1600-h/17.jpeg"><img style="cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh2QJWPd8LSVMXQ0teIobcQ_t10bsArUwMBZ7az4KaR1h2BJc0qUdkdXCU-a2yaRG5N1IfobGsUwCLHJ43idqHH5Zl-kduciGAqOq95EYEZZnwAJ84MSkO2usCsylZyuvOUQlkz43lXOwF0/s320/17.jpeg" alt="" id="BLOGGER_PHOTO_ID_5215511207655105586" border="0" /></a><br /></div><span><br /><br /></span>Despues de darle <span>add</span> nos aparecera esta ventana en la cual podemos escoger los metodos de seguridad en este caso escogemos <span>negociar la seguridad</span> (<span>negotiate security</span>) y damos clic en <span>agregar.<br /><br /></span><div style="text-align: center;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjsXz_fJ4XGoI0ZlBfxq47zJGwX4s1u1ZmNDesy9eKVO0Yd4Jm_epN5we5s6pQ3AWWWij7z4YBxrfLzhctIG-5Kc2tCfMXlL5rlJcw2x_FWZHaCQoOJiPMCDRFYVR8RLtRNjw4_bvvB5h-1/s1600-h/19.jpeg"><img style="cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjsXz_fJ4XGoI0ZlBfxq47zJGwX4s1u1ZmNDesy9eKVO0Yd4Jm_epN5we5s6pQ3AWWWij7z4YBxrfLzhctIG-5Kc2tCfMXlL5rlJcw2x_FWZHaCQoOJiPMCDRFYVR8RLtRNjw4_bvvB5h-1/s320/19.jpeg" alt="" id="BLOGGER_PHOTO_ID_5215513103478325586" border="0" /></a><br /><br /><br /><br /><div style="text-align: left;">Luego de darle en<span> add</span> nos aparecera esta ventana en la cual escogemos la opcion personalizada esto como su nombre lo indica es para personalizar el metodo de seguridad y le damos clic en <span>configuration</span>.<br /><br /><br /></div></div></div><div style="text-align: center;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg3UCUcHYFk5YhyphenhyphenC9zlpgjIvZ6g2vOOpL8ykUbQ7wjnq64zlrQn_JYNgN_Th3lFa5qfqjuY8TI502DzP2JA90DFJ37r8RVBx15r4P-unCaOx94Tbpb6d6a9hxcnwjwnEiWAYyZQAmkj_Twl/s1600-h/20.jpg"><img style="cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg3UCUcHYFk5YhyphenhyphenC9zlpgjIvZ6g2vOOpL8ykUbQ7wjnq64zlrQn_JYNgN_Th3lFa5qfqjuY8TI502DzP2JA90DFJ37r8RVBx15r4P-unCaOx94Tbpb6d6a9hxcnwjwnEiWAYyZQAmkj_Twl/s320/20.jpg" alt="" id="BLOGGER_PHOTO_ID_5215515160608965106" border="0" /></a><br /><br /><br /><div style="text-align: left;">Nos aparecera una ventana en la cual escogemos los algoritmos que vamos a utilizar, los cuales pueden ser <a href="http://es.wikipedia.org/wiki/SHA">SHA1</a> o <a href="http://es.wikipedia.org/wiki/MD5">MD5</a> tambien podemos escoger el algoritmo de encriptacion que puede ser <a href="http://es.wikipedia.org/wiki/3DES">3DES</a> .Luego de escoger los algoritmos le damos clic en <span>ok</span> a todas las ventanas que nos aparezcan.<br /></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div><a style="font-weight: bold; font-style: italic;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEizYNB697pc6fnJttvuxkMlAOQbNw-MR0TpamQxTioRKRPSyN_NRc3xhqpsJyQYjEzlSCbapobrCvZgF-F838dXNme0naCJATiYuICqugUtxq988nQrOX4bIa2TwdRDQ5thggWW1cJXb9sc/s1600-h/21.jpeg"><img style="cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEizYNB697pc6fnJttvuxkMlAOQbNw-MR0TpamQxTioRKRPSyN_NRc3xhqpsJyQYjEzlSCbapobrCvZgF-F838dXNme0naCJATiYuICqugUtxq988nQrOX4bIa2TwdRDQ5thggWW1cJXb9sc/s320/21.jpeg" alt="" id="BLOGGER_PHOTO_ID_5215515938882719810" border="0" /></a><br /><br /><br /><div style="text-align: left;"><span style="font-weight: bold; font-style: italic;">20. Luego pasamos a la pestaña metodos de autenticacion y le damos clic en </span><span style="font-style: italic; font-weight: bold;">agregar</span><span style="font-weight: bold; font-style: italic;">.</span><br /><br /><div style="text-align: center;"><a style="font-weight: bold; font-style: italic;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgbgEFatURoGhSdcCnBHZ4nLgRv44d0TDL-GGbv100zSf7grOIZnwqcvpCTV_Q6ObA_fyXcKR1ptPJMhMSi7ub93S-emunB9jb9df0aGTjoYD2PQQdB4POmePXbEDpjWubEb1jJFwxEFAH2/s1600-h/22.jpg"><img style="cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgbgEFatURoGhSdcCnBHZ4nLgRv44d0TDL-GGbv100zSf7grOIZnwqcvpCTV_Q6ObA_fyXcKR1ptPJMhMSi7ub93S-emunB9jb9df0aGTjoYD2PQQdB4POmePXbEDpjWubEb1jJFwxEFAH2/s320/22.jpg" alt="" id="BLOGGER_PHOTO_ID_5215518130432265170" border="0" /></a><br /><span style="font-weight: bold; font-style: italic;">-Luego de darle cilc en agregar nos aparecera una ventana en la cual escogeremos la ultima opcion y colocaremos la llave precompartida.</span><br /><br /><br /><a style="font-weight: bold; font-style: italic;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgQzkkywJ8mQaPuugYYstJjeoNwls0RdRq9iN4nQ5aOR0FPq25pQAcg0IO0ylzI-VwTLeiJseXIzCrH3syQmC4n-NJpXatDVIuPW1Qobwh_EKr7PdB7b6OkD4wk1PyCu5nU79gr4k_TbKGG/s1600-h/23.jpg"><img style="cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgQzkkywJ8mQaPuugYYstJjeoNwls0RdRq9iN4nQ5aOR0FPq25pQAcg0IO0ylzI-VwTLeiJseXIzCrH3syQmC4n-NJpXatDVIuPW1Qobwh_EKr7PdB7b6OkD4wk1PyCu5nU79gr4k_TbKGG/s320/23.jpg" alt="" id="BLOGGER_PHOTO_ID_5215519589467751234" border="0" /></a><br /><br /><div style="text-align: left; font-weight: bold; font-style: italic;">Ya para terminar le damos clic derecho sobre la politica y damos clic en <span>asignar</span>.<br /><br /><div style="text-align: center;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiJqbQF6MmCdBuDZZy13VNikQIHg8mH0byIR1FATdUYltKNulCs6C-vmgiXjqyj4QdG0ugedtqlkmBpFTblVyIuKJBG6tC_NohoTmCj9l0pFILSGR46VvAbtUUb649Klu2KZlqBDwOOF_XC/s1600-h/24.jpeg"><img style="cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiJqbQF6MmCdBuDZZy13VNikQIHg8mH0byIR1FATdUYltKNulCs6C-vmgiXjqyj4QdG0ugedtqlkmBpFTblVyIuKJBG6tC_NohoTmCj9l0pFILSGR46VvAbtUUb649Klu2KZlqBDwOOF_XC/s320/24.jpeg" alt="" id="BLOGGER_PHOTO_ID_5215520453271652034" border="0" /></a><br /><br /><br /><br /><div style="text-align: left;">para que esto pueda funcionar la misma configuracion se deve hacer en el host con el que se va a hacer la comunicacion.<br /><br />Esta fue una prueba de la politica. Esta politica es para que negocien seguridad cuando se hace un ping y tengan comunicacion segura.</div></div><br /></div><div style="text-align: left; font-weight: bold; font-style: italic;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi6bpx_WY2oZnb4w6dBORh5JyG5Z5Ux_72gL05mz339WOoBXp-FPtY02zd1chKbkAQpD-n_fXFqKb1oT6fI_IsfWlGzYinpuESeTShmTKhetH0z8vw7xpCaW4l29mUuq9rhAme8AAT99-vq/s1600-h/25.jpg"><img style="cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi6bpx_WY2oZnb4w6dBORh5JyG5Z5Ux_72gL05mz339WOoBXp-FPtY02zd1chKbkAQpD-n_fXFqKb1oT6fI_IsfWlGzYinpuESeTShmTKhetH0z8vw7xpCaW4l29mUuq9rhAme8AAT99-vq/s320/25.jpg" alt="" id="BLOGGER_PHOTO_ID_5215520960335268002" border="0" /></a></div><div style="text-align: left;"><br /></div></div></div>CrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com0tag:blogger.com,1999:blog-4845635447704119827.post-6375416442393631612008-06-23T05:57:00.000-07:002008-06-23T07:58:22.708-07:00Instalacion y Configuracion de SSH<span style="font-weight: bold; font-style: italic;">SSH es el nombre de un protocolo y del programa que lo implementa. Este protocolo sirve para acceder a máquinas a través de una red, de forma similar a como se hacía con telnet. La diferencia principal es que SSH usa técnicas de cifrado para que ningún atacante pueda descubrir el usuario y contraseña de la conexión ni lo que se escribe durante toda la sesión.</span><br /><br /><span style="font-weight: bold; font-style: italic;">(SSh trabaja por el puerto 22 tcp) y una de las herramientas que utiliza ssh para entrar en otros equipos es la aplicacion libre </span><a style="font-weight: bold; font-style: italic;" href="http://es.wikipedia.org/wiki/Putty">Putty.<br /></a><br /><span style="font-weight: bold; font-style: italic;">ahora pasamos ala configuracion de SSH en Linux</span><br /><br /><span style="font-style: italic;">#apt-get install ssh</span><br /><br /><a style="font-weight: bold; font-style: italic;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgoKet_HBnICfB4NpyRF3B8AP-VJVwzIU505LI14-sKmx9mJ1nptY2-V-5PclOa_23RAbJgpZ02rOlTms1uE2xlqf82KUCaDYk9cHPeGFSJ7sPvBTF_KYTiFLaJxMTpRqp_-MTit-khmL1a/s1600-h/Pantallazo.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgoKet_HBnICfB4NpyRF3B8AP-VJVwzIU505LI14-sKmx9mJ1nptY2-V-5PclOa_23RAbJgpZ02rOlTms1uE2xlqf82KUCaDYk9cHPeGFSJ7sPvBTF_KYTiFLaJxMTpRqp_-MTit-khmL1a/s320/Pantallazo.png" alt="" id="BLOGGER_PHOTO_ID_5215065980685122338" border="0" /></a><br /><span style="font-weight: bold; font-style: italic;">ahora pasaremos ala configuracion de ssh en el archivo de configuracion por defecto </span><span style="font-style: italic;">#pico /etc/ssh/ssh_config</span><br /><br /><span style="font-weight: bold; font-style: italic;">ahora veremos algunas opciones del archivo de configuracion estando dentro del archivo especificaremos en la linea:<br /></span><span style="font-style: italic;">port 22 </span><span style="font-weight: bold; font-style: italic;"><br />Este seria el puerto por defecto por el que funciona ssh pero si queremos lo podemos cambiar por otro puerto</span><br /><br /><span style="font-weight: bold; font-style: italic;">Luego en la linea </span><span style="font-weight: bold; font-style: italic;font-family:Arial,sans-serif;" ><span style="font-size:100%;">permitRootLogin que es para permitir el acceso directo al usuario root se recomienda que este en no porque cualquier usuario que se loguee quedara como root y tendra permiso para modificar cualquier cosa dentro de nuestro equipo<br /></span></span><span style="font-style: italic;font-family:Arial,sans-serif;" ><span style="font-size:100%;"><br />PermitRootLogin no </span></span><span style="font-weight: bold; font-style: italic;font-family:Arial,sans-serif;" ><span style="font-size:100%;"><br /></span></span><br /><span style="font-family:Arial,sans-serif;"><span style="font-size:100%;"> <span style="font-weight: bold; font-style: italic;">La linea x11Forwarding nos da la opcion de permitir o denegar la ejecucion remota de una interface grafica.</span><br /><br /><span style="font-style: italic;">x11Forwarding yes</span><br /><br /><span style="font-weight: bold; font-style: italic;">Para que nuestro servidor pida una llave al ingresar el ususario debemos descomentar la linea:</span><br /><br /><span style="font-style: italic;">AuthorizedKeysFile /root/.ssh/authorized_keys</span><span style="font-weight: bold; font-style: italic;"><br /><br />esa ruta es donde van a ir almacenadas las llaves publicas de los usuarios .</span><br /><br /><span style="font-weight: bold; font-style: italic;">Luego debemos descomentar la linea PasswordAuthentication y cambiar de yes a no esto se hace para que no pida clave sino la llave del usuario</span><br /><br /><span style="font-style: italic;">PasswordAuthentication yes</span><span style="font-weight: bold; font-style: italic;"><br /><br />Despues debemos copiar la llave del usuario que va a ingresar al servidor ssh en la ruta que le dimos en la linea AuthorizedKeysFile</span><span style="font-style: italic;"> (la ruta es /root/.ssh/authorized_keys)</span><span style="font-weight: bold; font-style: italic;"><br /></span><span style="font-style: italic;"><br />cp /root/.ssh/id_dsa.pub /root/.ssh/authorized_keys</span><span style="font-weight: bold; font-style: italic;"><br /><br />id_dsa.pub es la llave publica del usuario.</span><br /><br /><br /><span style="font-weight: bold; font-style: italic;">por ultimo reiniciaremos el servicio</span><br /><span style="font-style: italic;"><br />/etc/init.d/ssh restart<br /><br /><span style="font-weight: bold;">Configuracion del cliente SSH<br /><br />primero instalaremos el cliente ssh<br /><br />#apt-get install openssh-client<br /><br /></span></span></span></span><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj2fZxC4p7-wVXjQ4gBEWiCEF3D_fhRizMDcOmmrFTgyxsEirCdbjsQ1myfFmw_3LqNrvTk6WUxLjhc4qbajPg6DXEQOwov2zrdpl9PGT3qWAdElU7MxZqs2GkaK_qx-QRZZo2ZEscyLIil/s1600-h/Pantallazo.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj2fZxC4p7-wVXjQ4gBEWiCEF3D_fhRizMDcOmmrFTgyxsEirCdbjsQ1myfFmw_3LqNrvTk6WUxLjhc4qbajPg6DXEQOwov2zrdpl9PGT3qWAdElU7MxZqs2GkaK_qx-QRZZo2ZEscyLIil/s320/Pantallazo.png" alt="" id="BLOGGER_PHOTO_ID_5215075789168118450" border="0" /></a><span style="font-weight: bold; font-style: italic;">luego crearemos las llaves del usuario con el comando</span><br /><span style="font-style: italic;">#ssh -keygen -t dsa</span><span style="font-weight: bold; font-style: italic;"><br /><br /></span><a style="font-weight: bold; font-style: italic;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjca8GTLZJxinN-vGJG69UgKgY4vPVL13EuTU3rhya9Guw6fgKCs4LlaAEScrD8z2RfQr-lVyW77dvaKeVNE1VK-jeDaPj1sfBBQ3HeTsofbxUD-H_T9oNG2CC8vG_gKetHkiyjtxjL29GI/s1600-h/Pantallazo-1.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjca8GTLZJxinN-vGJG69UgKgY4vPVL13EuTU3rhya9Guw6fgKCs4LlaAEScrD8z2RfQr-lVyW77dvaKeVNE1VK-jeDaPj1sfBBQ3HeTsofbxUD-H_T9oNG2CC8vG_gKetHkiyjtxjL29GI/s320/Pantallazo-1.png" alt="" id="BLOGGER_PHOTO_ID_5215077113112252946" border="0" /></a><span style="font-weight: bold; font-style: italic;">debemos copiar la llave publica al archivo donde se alojan las llaves que es </span><span style="font-style: italic;">/root/.ssh/authorized_keys</span><br /><br /><span style="font-style: italic;font-family:Arial,sans-serif;" ><span style="font-size:100%;"><span><span>cp /root/.ssh/id_dsa.pub /root/.ssh/authorized_keys</span></span></span></span><span style="font-weight: bold; font-style: italic;font-family:Arial,sans-serif;" ><span style="font-size:100%;"><span><span><br /><br /></span></span><span><span>ya podemos provar si la configuracion esta buena accediendo al servidor ssh</span></span></span></span><span style="font-style: italic;font-family:Arial,sans-serif;" ><span style="font-size:100%;"><span><span><br /><span>ssh 10.3.8.154</span> (es la ip del servidor ssh)</span></span></span></span><span style="font-weight: bold; font-style: italic;font-family:Arial,sans-serif;" ><span style="font-size:100%;"><span><span><br /></span></span></span></span><a style="font-weight: bold; font-style: italic;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhHqC7JWtH0cTyT6N12Lchf2L2npU63FCXe5dMMaF7gee9gdhFSe2SK3CNzYiwQ5GY_6jPGfuBseZs-Lmx93N6ypb43oO6HprLdvcnoVIUjnEcseUGs99cP9j5jurcpUXkAPkkZyBkh6b57/s1600-h/Pantallazo.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhHqC7JWtH0cTyT6N12Lchf2L2npU63FCXe5dMMaF7gee9gdhFSe2SK3CNzYiwQ5GY_6jPGfuBseZs-Lmx93N6ypb43oO6HprLdvcnoVIUjnEcseUGs99cP9j5jurcpUXkAPkkZyBkh6b57/s320/Pantallazo.png" alt="" id="BLOGGER_PHOTO_ID_5215089152857189266" border="0" /></a><br /><span style="font-family:Arial,sans-serif;"><span style="font-size:100%;"><span style="font-style: italic;"><span style="font-weight: bold; font-style: italic;">En esta imagen podemos ver que nos pudimos comunicar al servidor SSH<br /><br /></span></span></span></span><span style="font-weight: bold;">Analisis del trafico ssh<br /><span style="font-weight: bold;"><span style="font-weight: bold;"><span style="font-weight: bold;"><br /></span></span></span>Acontinuacion veremos como es la conexion ssh cliente servidor<br /><br /></span><a style="font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgu3kaNkK2GIwdb28G-_4nNBeXw9RmkZskwvDg2l6nAlT6-Ma6DeJU2HH26_tao-XZhTtzOy7dw3WAlYATeUbT4N_NH5U9R2YPnXubpBvNOTnSWxyV529a8qm8KQFUH-rrLrflNf9c1kpKM/s1600-h/analisis1.jpeg"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgu3kaNkK2GIwdb28G-_4nNBeXw9RmkZskwvDg2l6nAlT6-Ma6DeJU2HH26_tao-XZhTtzOy7dw3WAlYATeUbT4N_NH5U9R2YPnXubpBvNOTnSWxyV529a8qm8KQFUH-rrLrflNf9c1kpKM/s320/analisis1.jpeg" alt="" id="BLOGGER_PHOTO_ID_5213274793137689218" border="0" /></a><br /><span style="font-weight: bold;">El cliente hace una peticion ssh con un SYN al servidor</span><br /><span style="font-weight: bold;">El servidor le responde con un SYN,ACK</span><br /><span style="font-weight: bold;">Vuelve a responder el cliente con un ACK</span><br /><span style="font-weight: bold;">El servidor responde arrojando datos del protocolo y del equipo.</span><br /><span style="font-weight: bold;">El cliente hace lo mismo, arroja informacion de su equipo y demas.</span><br /><span style="font-weight: bold;">Luego el cliente inicia el intercambio de llaves del servidor.</span><br /><span style="font-weight: bold;">El servidor responde con un ACK, y inicia en intercamo de llaves del servidor.</span><span style="font-family: Arial,sans-serif; font-weight: bold;"><span style="font-size: 100%;"><br />Luego establecen un algoritmo de encriptacion, crean unas nuevas llaves para crear el tunel ssh y luego inician una comunicacion encriptada.</span></span><br /><br /><br /><a style="font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEivAqDptbODCtqs_kKfQLODSrNyBiqvdg7a_Efykl-85naUHp4E8zb3v14vijxgyU_l2DWn86-6x4XVkzizzTiZDe5soalV_CyzHocfN0XSRNBGejFkQAeEGtVal6hIIxtx7cjfBnvoKwP7/s1600-h/analisis2.jpeg"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEivAqDptbODCtqs_kKfQLODSrNyBiqvdg7a_Efykl-85naUHp4E8zb3v14vijxgyU_l2DWn86-6x4XVkzizzTiZDe5soalV_CyzHocfN0XSRNBGejFkQAeEGtVal6hIIxtx7cjfBnvoKwP7/s320/analisis2.jpeg" alt="" id="BLOGGER_PHOTO_ID_5213276173625374642" border="0" /></a><br /><span style="font-family: Arial,sans-serif; font-weight: bold;"><span style="font-size: 100%;">Para finalizar la conexion ssh el cliente le manda una peticion de FIN, ACK al servidor el servidor le responde con otro FIN, ACK y el cliente le confirma con un ACK</span></span><span style="font-weight: bold;">.</span><br /><br /><a style="font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhDndfqMbAhWNZqIpWAcMESVkwSkoEt2dclTQVddhZ9tW3ZXoIZzxG83V9X-gwyJWBEpsklryK6azmP-O48K9AasHI6CdRjmaHNhO5BQTWvI7hUiOQL99RRTLgKz-L7WnO44zCYz9Pxv1w7/s1600-h/analisis3.jpeg"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhDndfqMbAhWNZqIpWAcMESVkwSkoEt2dclTQVddhZ9tW3ZXoIZzxG83V9X-gwyJWBEpsklryK6azmP-O48K9AasHI6CdRjmaHNhO5BQTWvI7hUiOQL99RRTLgKz-L7WnO44zCYz9Pxv1w7/s320/analisis3.jpeg" alt="" id="BLOGGER_PHOTO_ID_5213276621121670674" border="0" /></a><br /><span style="font-weight: bold;">Este analisis fue tomado del blog de </span><a style="font-weight: bold;" href="http://modseguridad.blogspot.com/">ferney</a><span style="text-decoration: underline;"></span><a href="http://julian-tareas.blogspot.com/"></a>CrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com0tag:blogger.com,1999:blog-4845635447704119827.post-44946914077205548392008-06-17T10:02:00.000-07:002008-06-17T10:05:53.936-07:00NESSUS<div style="text-align: center; font-style: italic; font-weight: bold;">Nesus es una herramienta para informes de vulnerabilidades.<a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg8rPRiIKdBrP9vSd0JaymoUWgifmeEhimAqQUpp7RxBGRNM3_5nWrfktdYI02DGIWWwg4SIA70OsA1cHsbC1YHpA6s2CnkxHRCcmOqwuV2mzs57xAhpa9mLwt-ZlgijjtXNPmZa76MMyY/s1600-h/nessus.jpg"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg8rPRiIKdBrP9vSd0JaymoUWgifmeEhimAqQUpp7RxBGRNM3_5nWrfktdYI02DGIWWwg4SIA70OsA1cHsbC1YHpA6s2CnkxHRCcmOqwuV2mzs57xAhpa9mLwt-ZlgijjtXNPmZa76MMyY/s320/nessus.jpg" alt="" id="BLOGGER_PHOTO_ID_5212881191368405586" border="0" /></a><br /></div><span style="font-style: italic; font-weight: bold;">Nessus es un programa de escaneo de vulnerabilidades en varios Sistemas Operativos. Y consta de un cliente y un servidor, se pueden instalar en las mismas maquinas por simplicidad. Con nessus se pueden grabar informes donde hay enlaces que explican que tipo de vulnerabilidad encontrada es, como "exportarla" y como "evitarla".</span><br /><br /><span style="font-style: italic; font-weight: bold;">Nessus es un escáner de seguridad remoto para Linux, BSD, Solaris, Windows y Otros Unix. Está basado en plug-in(s), tiene una interfaz basada en GTK, y realiza más de 1200 pruebas de seguridad remotas. Permite generar reportes en HTML, XML, LaTeX, y texto ASCII; también sugiere soluciones para los problemas de seguridad.</span><br /><br /><span style="font-style: italic; font-weight: bold;">Instalacion de Nessus</span><br /><span style="font-style: italic; font-weight: bold;"># apt-get install nessus -->Nessus cliente</span><br /><span style="font-style: italic; font-weight: bold;"># apt-get install nessusd -->Nessus demonio</span><br /><br /><span style="font-style: italic; font-weight: bold;">Para configurar Nessus como demonio indicando un puerto hacemos lo siguiente:</span><br /><span style="font-style: italic; font-weight: bold;"># nessusd p 1241 a 10.3.16.x -->Puerto y direccion IP por la cual se comunicara.</span><br /><br /><span style="font-style: italic; font-weight: bold;">Agregar un usuario:</span><br /><span style="font-style: italic; font-weight: bold;"># nessus-adduser</span><br /><br /><a style="font-style: italic; font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjtNQ-hHIafPRF6NzGq2DId9_IhGozmiYFSJzCwDJRYRq5wATnHse2lekYMxLCcz_F2NV4LFigEQu3LLy6dkgMwov47oWh_1dMF7SgQASDT0XyztpqHIs7VGDbFlrJf3xipfI9jJCptras/s1600-h/nessus-user.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjtNQ-hHIafPRF6NzGq2DId9_IhGozmiYFSJzCwDJRYRq5wATnHse2lekYMxLCcz_F2NV4LFigEQu3LLy6dkgMwov47oWh_1dMF7SgQASDT0XyztpqHIs7VGDbFlrJf3xipfI9jJCptras/s320/nessus-user.png" alt="" id="BLOGGER_PHOTO_ID_5212881096752326034" border="0" /></a><span style="font-style: italic; font-weight: bold;">Link de otra </span><a style="font-style: italic; font-weight: bold;" href="http://bulma.net/body.phtml?nIdNoticia=2193">instalacion.</a><br /><br /><span style="font-style: italic; font-weight: bold;">Al ejecutarlo desde Aplicaciones, Internet, Nessus nos aparece una consola como esta:</span><br /><a style="font-style: italic; font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiur2xmNCJLO_W0FQFFRagQEsq4OwPPnGQriW3upig9mM6Xd92W6JPobKbNDvG2bZyW0SDJ1VbvdEaEJxbPMgk3r3rBIhjWhvvFMSRZwFLiDEfYOHk-_7ofPYU09FaZX-xHm5CmmnVe9PM/s1600-h/nessu.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiur2xmNCJLO_W0FQFFRagQEsq4OwPPnGQriW3upig9mM6Xd92W6JPobKbNDvG2bZyW0SDJ1VbvdEaEJxbPMgk3r3rBIhjWhvvFMSRZwFLiDEfYOHk-_7ofPYU09FaZX-xHm5CmmnVe9PM/s320/nessu.png" alt="" id="BLOGGER_PHOTO_ID_5212893007021211858" border="0" /></a><span style="font-style: italic; font-weight: bold;">Nos logueamos. La primera vez que nos logueamos nos muestra esto:</span><br /><a style="font-style: italic; font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiRQqpAZQzXpR-SO8WaHvaN9r3ZLNMtWN3lxef4leGQDQcqPRejZ_tJrfugarbIozY8rKQAtVaBBG36kBkiRdKh5OH5ZJhbBuhKeNJUav2ezz7nLyh_LnxLjIiH2ZVTqVSff8Jx9OKFYH4/s1600-h/nessus.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiRQqpAZQzXpR-SO8WaHvaN9r3ZLNMtWN3lxef4leGQDQcqPRejZ_tJrfugarbIozY8rKQAtVaBBG36kBkiRdKh5OH5ZJhbBuhKeNJUav2ezz7nLyh_LnxLjIiH2ZVTqVSff8Jx9OKFYH4/s320/nessus.png" alt="" id="BLOGGER_PHOTO_ID_5212893369460486994" border="0" /></a><span style="font-style: italic; font-weight: bold;">Nos muestra un certificado. Lo aceptamos</span><br /><a style="font-style: italic; font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiX5Jcqq_7crzf1hpX8fzmmc3kkyBGoVGm2tBQHDG6QdG1G8q8Hyb93ZGT1yLSu6AHPBY0rtaj0ooolzUnckyWf8G2B4MlJ0WsNY826PCqqKNbB6qJfltxrPGDfiuZCqEBf2Xlx1ZMAS2M/s1600-h/Pantallazo.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiX5Jcqq_7crzf1hpX8fzmmc3kkyBGoVGm2tBQHDG6QdG1G8q8Hyb93ZGT1yLSu6AHPBY0rtaj0ooolzUnckyWf8G2B4MlJ0WsNY826PCqqKNbB6qJfltxrPGDfiuZCqEBf2Xlx1ZMAS2M/s320/Pantallazo.png" alt="" id="BLOGGER_PHOTO_ID_5212893707759144562" border="0" /></a><span style="font-style: italic; font-weight: bold;">Cuando estemos logueados nos mostrara los plugins que tiene nessus.</span><br /><a style="font-style: italic; font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjNGWhfTo4jNTYYSbjqwtdlhSAZRQqcafCZGLyVzdCgZqbK5z7YLWpYGvu8KCV9VIi2wzOEa_xA093B5DE22SmvYEnFgnQCIrZl15G8LDZ83-_nhOHTAs9btJNtwr_anQPJEBb-mTleYgw/s1600-h/nessus1.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjNGWhfTo4jNTYYSbjqwtdlhSAZRQqcafCZGLyVzdCgZqbK5z7YLWpYGvu8KCV9VIi2wzOEa_xA093B5DE22SmvYEnFgnQCIrZl15G8LDZ83-_nhOHTAs9btJNtwr_anQPJEBb-mTleYgw/s320/nessus1.png" alt="" id="BLOGGER_PHOTO_ID_5212894432638993874" border="0" /></a><span style="font-style: italic; font-weight: bold;">Unas de las imagenes sobre las caracteristicas de Nessus.</span><br /><a style="font-style: italic; font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiGV6FZGnyA78BtrEg45k0O8NSSb7_-Fo5ktRA7z6hCX_4MY2gHRrXByRozciSt9Y6bQIK2tJ7uwyim67j_4Kk1Ms-SEhylhY4LMOhd6z6qqYivaZsS9luE8KHJfySjRMBUkzovrlADxn0/s1600-h/nessus2.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiGV6FZGnyA78BtrEg45k0O8NSSb7_-Fo5ktRA7z6hCX_4MY2gHRrXByRozciSt9Y6bQIK2tJ7uwyim67j_4Kk1Ms-SEhylhY4LMOhd6z6qqYivaZsS9luE8KHJfySjRMBUkzovrlADxn0/s320/nessus2.png" alt="" id="BLOGGER_PHOTO_ID_5212894717876904914" border="0" /></a><a style="font-style: italic; font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiDZJ-PV1wRFp0hYlGlj-x3wCyDavPrHBrWKJy8i4fBMKGOdxRs3gZOHxsmx8jqZa91Alw3V1kUuU2XuEvfUZUuLqr4cQaak01zc724N_yzbcs6jaLHykjZq4f705Q39omPx2kh_oEKVnw/s1600-h/nessus4.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiDZJ-PV1wRFp0hYlGlj-x3wCyDavPrHBrWKJy8i4fBMKGOdxRs3gZOHxsmx8jqZa91Alw3V1kUuU2XuEvfUZUuLqr4cQaak01zc724N_yzbcs6jaLHykjZq4f705Q39omPx2kh_oEKVnw/s320/nessus4.png" alt="" id="BLOGGER_PHOTO_ID_5212894847066659794" border="0" /></a><br /><a style="font-style: italic; font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgnX9jj5Gzxs-VNes84wJXon2-BbeOf3w9bTlXU8euV9exezzUUt14VWbd9s-BL8pTRYVxl0nQ4fBjSC-xgx72_7yz6neeQUm1U0BltHPQUHbbooK2PMrFAZJIxf6dc3DH9aCR6jB8hON8/s1600-h/nessus5.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgnX9jj5Gzxs-VNes84wJXon2-BbeOf3w9bTlXU8euV9exezzUUt14VWbd9s-BL8pTRYVxl0nQ4fBjSC-xgx72_7yz6neeQUm1U0BltHPQUHbbooK2PMrFAZJIxf6dc3DH9aCR6jB8hON8/s320/nessus5.png" alt="" id="BLOGGER_PHOTO_ID_5212894965178933730" border="0" /></a><span style="font-style: italic; font-weight: bold;">Para escanear un equipo hacemos lo siguiente:</span><br /><span style="font-style: italic; font-weight: bold;">-->Indicamos la direccion IP</span><br /><span style="font-style: italic; font-weight: bold;">-->Iniciamos en escaner</span><br /><a style="font-style: italic; font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiZ07yFgK4N7QEYBtyoz3l8nzQdU4KCVItDWUF2TwiaFoBvATmi4zZlf75OE-nCcTIQ_ddpSqp_Yc_5ycZ16DutnR911kbyHTU9W-iyJz-lcK_ItFSvRtOuZifCmsOYTRST41LLdgPYkAU/s1600-h/nessus3.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiZ07yFgK4N7QEYBtyoz3l8nzQdU4KCVItDWUF2TwiaFoBvATmi4zZlf75OE-nCcTIQ_ddpSqp_Yc_5ycZ16DutnR911kbyHTU9W-iyJz-lcK_ItFSvRtOuZifCmsOYTRST41LLdgPYkAU/s320/nessus3.png" alt="" id="BLOGGER_PHOTO_ID_5212895393170036866" border="0" /></a><span style="font-style: italic; font-weight: bold;">Al iniciar el escaner debemos esperar que se realice todo el escaner y nos arroje los resultados.</span><br /><a style="font-style: italic; font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhTkkC_m_Rij89lhhUL-YdAN3iSWvO6_0cBhaJtyMXmBRBofvx4SFR8HC7yi8cKxwz_JWMLeHjTFXQlqZcZDtyiMDJpYhEUkefn3GnUxsmjIJt7aPh8DIVp7tDl9ucS5bKcf2Ssm1Cz2p8/s1600-h/nessus6.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhTkkC_m_Rij89lhhUL-YdAN3iSWvO6_0cBhaJtyMXmBRBofvx4SFR8HC7yi8cKxwz_JWMLeHjTFXQlqZcZDtyiMDJpYhEUkefn3GnUxsmjIJt7aPh8DIVp7tDl9ucS5bKcf2Ssm1Cz2p8/s320/nessus6.png" alt="" id="BLOGGER_PHOTO_ID_5212895905085575794" border="0" /></a><span style="font-style: italic; font-weight: bold;">Cuando termine mostrara el reporte asi:</span><br /><a style="font-style: italic; font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjAcICVZfpIb5zu78z1OGuOOZej4gW4QH0j-6EDlQh4PKgxDyYSdlj5Xc0EtzOZpUYfpS_ImYyQXBpk6gJefuWY7IJ7SfdIAgwOpAZrAV-IrM9cTQ3rZPwTEfGIOrdpW3lZy1Pqh2uWlqI/s1600-h/nessus7.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjAcICVZfpIb5zu78z1OGuOOZej4gW4QH0j-6EDlQh4PKgxDyYSdlj5Xc0EtzOZpUYfpS_ImYyQXBpk6gJefuWY7IJ7SfdIAgwOpAZrAV-IrM9cTQ3rZPwTEfGIOrdpW3lZy1Pqh2uWlqI/s320/nessus7.png" alt="" id="BLOGGER_PHOTO_ID_5212896200796215650" border="0" /></a><span style="font-style: italic; font-weight: bold;">Este documento fue desarrollado con la ayuda de </span><a style="font-style: italic; font-weight: bold;" href="http://bookalexa.blogspot.com/">Alexandra Amaya</a><span style="text-decoration: underline;"></span>CrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com0tag:blogger.com,1999:blog-4845635447704119827.post-69591439446239507692008-06-13T05:17:00.000-07:002008-06-13T06:08:44.048-07:00Vulnerabilidad en OpenSHH y OpenSSL<h2 class="title"></h2><p style="font-weight: bold; font-style: italic;">En esta entrada ablaremos sobre la vulnerabilidad de OpenSSL que fue descubierta por el argentino Luciano Bello</p> <p style="font-weight: bold; font-style: italic;">El problema es el siguiente: en un patch de Debian al paquete OpenSSL que fue aplicado por mediados de 2006, se introdujo una seria vulnerabilidad en el manejador pseudo-aleatorio de numeros (PRNG).<br />Para los que no saben que es eso o que es OpenSSL, un resumen pequeño y<br />una <a href="http://en.wikipedia.org/wiki/PRNG" title="Lectura en Wikipedia (Inglés) sobre PRNG">lectura obligada en Wikipedia</a>.<br />OpenSSL es una implementación libre de los protocolos SSL y TLS que se usan como herramientas de criptografía, o sea, para ocultar cosas básicamente.</p> <p style="font-weight: bold; font-style: italic;">Entonces, lo que hace el PRNG es eso, generar números que intentan tener la mayor entropía (”aleatoriedad”) posible usando distintos parámetros.</p> <p style="font-weight: bold; font-style: italic;">Esto hace que, por ejemplo, una conexión segura via SSH sea justamente “segura” por que las claves que se utilizan para establecer el canal de comunicación son *extremadamente* largas y “aleatorias”.</p> <p style="font-weight: bold; font-style: italic;">Lamentablemente la parte afectada fue una de las encargadas de generar la mayor parte de la entropía de los números generados por OpenSSL, reduciendo drásticamente los tiempos de ataque por fuerza bruta a cuestión de horas o minutos.por uqe las laaves se pueden descubrir muy facilmente<br /></p> <p style="font-weight: bold; font-style: italic;">Antes de intentar hacer cualquier cosa, lo importante es actuar con prudencia.El fallo fue introducido en sept de 2006, así que la sugerencia es que ante la duda, vuelvas a generar todas las llaves que hayan sido creadas vía OpenSSL en un sistema Debian (o derivados de Debian) desde 2006 hasta ahora.<br />Esto afecta a llaves SSH (llaves RSA y DSA), certificados SSL (x509), y todo lo que haya sido compilado contra libssl.</p> <p style="font-weight: bold; font-style: italic;">Lo que la mayor parte de todos tendremos que hacer mínimamente es regenerar las llaves RSA/DSA para el servidor SSH:<br /></p><p style="font-weight: bold; font-style: italic;"><span style="font-weight: normal;"> # rm /etc/ssh/ssh_host_*</span><br /><span style="font-weight: normal;"> # dpkg-reconfigure openssh-server</span></p><br /><p><span style="font-weight: bold; font-style: italic;">lo que queremos decir aquie es que la vulnerabilidad en openssl se podria aprovechar por cualquier persona que tenga acceso a un paquete que hay en internet que contiene todas las llaves que genera el openssl y al descargarlo y comparar las llaves que contiene podemos averiguar cualquier llave ala que tengamos acceso ,por ejemplo si tu tienes una llave publica de cualquier persona al comparar esta llave con las que hay en el dichoso paquete podras encontrar la llave privada y sai acceder a los pc o servidores donde este usuario se autentica con sus respectivas llaves.</span><br /></p><p><span style="font-weight: bold; font-style: italic;">esta entrada se realizo con la ayuda de </span><a style="font-weight: bold; font-style: italic;" href="http://orbit-sena.blogspot.com/">Alexis Cerpa</a><br /></p>CrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com0tag:blogger.com,1999:blog-4845635447704119827.post-34499212553169825362008-06-13T04:46:00.000-07:002008-06-14T09:05:22.911-07:00Solucion de la vulnerabilidad de llaves en OPenSSH y OpenSSL<strong style="font-weight: bold; font-style: italic;">Ahora, como saber si tu sistema está afectado?</strong> <p style="font-weight: bold; font-style: italic;">Si no tienes instalado openssh-server y nunca usaste openssh-client es seguro que no tendrás problema. Pero por las dudas puedes hacer la comprobación con este método. Te recomiendo que lo hagas, porque yo estaba seguro que en mi PC de escritorio jamás había usado OpenSSH y al comprobar por medio del script me dió que el sistema era vulnerable y ahí recordé que una vez sincronicé el iPhone usando OpenSSH. Así que a probar.</p> <p style="font-weight: bold; font-style: italic;">Primero abre una Terminal.</p> <p style="font-weight: bold; font-style: italic;">Nos descargamos el script de comprobación desde el servidor de Debian:</p> <p style="font-weight: bold; font-style: italic;"><strong><code>wget -c http://security.debian.org/project/extra/dowkd/dowkd.pl.gz</code></strong></p> <p style="font-weight: bold; font-style: italic;">Lo descomprimimos:</p> <p style="font-weight: bold; font-style: italic;"><code><strong>gunzip dowkd.pl.gz</strong></code></p> <p style="font-weight: bold; font-style: italic;">y le damos permiso de ejecución:</p> <p style="font-weight: bold; font-style: italic;"><code><strong>chmod u+x dowkd.pl</strong></code></p> <p style="font-weight: bold; font-style: italic;">Luego lo ejecutamos:</p> <p style="font-weight: bold; font-style: italic;"><code><strong>./dowkd.pl user</strong></code></p> <p style="font-weight: bold; font-style: italic;"><code><strong>./dowkd.pl host hostname</strong></code></p> <p style="font-weight: bold; font-style: italic;">Si nos aparece algo similar a esto: <strong><code>/home/<em>username</em>/.ssh/id_dsa.pub:1: weak key</code></strong><code> </code>significa que nuestra clave ssh se encuentra comprometida.<code> </code>Si no ves las palabras "<strong>weak key</strong>" no tienes problemas<code>.</code><strong><code><br /></code></strong></p> <p style="font-weight: bold; font-style: italic;"><strong>Como lo soluciono?</strong></p> <p style="font-weight: bold; font-style: italic;">Seguimos desde la Terminal:</p> <p style="font-weight: bold; font-style: italic;"><strong><code>sudo apt-get update</code></strong></p> <p style="font-weight: bold; font-style: italic;"><strong><code>sudo apt-get upgrade</code></strong></p> <p style="font-weight: bold; font-style: italic;">Verás que existen actualizaciones para los paquetes openssl y openssh, Acepta las actualizaciones y ahora vamos a regenerar las nuevas claves.</p> <p style="font-weight: bold; font-style: italic;">Si el "weak key" apareció al ejecutar el primer script:</p> <p style="font-weight: bold; font-style: italic;"><code><strong><code>ssh-keygen -t dsa -b 1024</code></strong></code></p> <p style="font-weight: bold; font-style: italic;">Si apareció en el segundo script:</p> <p style="font-weight: bold; font-style: italic;"><strong><code>sudo rm /etc/ssh/ssh_host_{dsa,rsa}_key*</code><br /></strong></p> <p style="font-weight: bold; font-style: italic;"><strong><code>sudo dpkg-reconfigure -plow openssh-server</code></strong></p> <p style="font-weight: bold; font-style: italic;">Hecho esto, corremos los scripts nuevamente para ver si se solucionó el problema.</p> <p style="font-weight: bold; font-style: italic;">En el caso de no haberse solucionado mira el archivo donde está la clave con error (en mi caso la salida de la terminal era /<strong>home/eduardo/.ssh/authorized_hosts:1: weak key</strong>) y abre con Gedit el archivo en cuestión (en mi caso<strong> /home/eduardo/.ssh/authorized_hosts</strong>) y borra la linea afectada (en mi caso 1). Antes un backup del archivo con otro nombre.</p> <p style="font-weight: bold; font-style: italic;">Vuelve a ejecutar el script hasta que las dichosas palabritas <strong>weak key</strong> no aparezcan.</p><p style="font-weight: bold; font-style: italic;">cuando nos deje de salir este mensage ya podemos volver a generar todas nuestras llaves RSA y DSA.</p><br /><span style="font-weight: bold; font-style: italic;">esta entrada se realizo con la ayuda de </span><a style="font-weight: bold; font-style: italic;" href="http://orbit-sena.blogspot.com/">Alexis Cerpa</a><p style="font-weight: bold; font-style: italic;"><br /></p><p style="font-weight: bold; font-style: italic;"><br /></p>CrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com0tag:blogger.com,1999:blog-4845635447704119827.post-38902208359075166372008-06-12T05:03:00.000-07:002008-06-13T06:17:47.767-07:00Creacion de Certificados para Servidor Web en Windows<span style="font-weight: bold;">En esta entrada se explicara como sera la creacion de un certificado digital para un servidor web en windows 2003 server</span><a style="font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgr2gzeVG0OyosgYpZyRpQkRKgRKUDNl1hgTTvaMWwgLJaz2BaU5U1FE6YzsxA7OqwngsB3mpWhHTYWXT6EEplf8AY5sHjYjKVR1xXRPFA1XbJoTv6Mc26OWjZ7XZUJXvWw3OE9S4zpfIV5/s1600-h/Dibujo1.bmp"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgr2gzeVG0OyosgYpZyRpQkRKgRKUDNl1hgTTvaMWwgLJaz2BaU5U1FE6YzsxA7OqwngsB3mpWhHTYWXT6EEplf8AY5sHjYjKVR1xXRPFA1XbJoTv6Mc26OWjZ7XZUJXvWw3OE9S4zpfIV5/s320/Dibujo1.bmp" alt="" id="BLOGGER_PHOTO_ID_5210965236151310882" border="0" /></a><br /><span style="font-weight: bold;">primero ingresamos ala consola de administracion de IIS (internet information server) ,y damos click derecho en la opcion sito web predeterminado y damos click en opciones.</span><a style="font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjJekeqsB5XwBD6wpVI270bbdLMGw6tjRAQrF-nLyGqMskFJ2qSAIHH5gHLBb4LFcpeou4Uv0YF91WUymctGPkIeK-74bZIP41KZn03IJhsOCe2nPg6v9ZIg2UlNPfDSJJHkUsjqAt6BSwL/s1600-h/Dibujo2.bmp"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjJekeqsB5XwBD6wpVI270bbdLMGw6tjRAQrF-nLyGqMskFJ2qSAIHH5gHLBb4LFcpeou4Uv0YF91WUymctGPkIeK-74bZIP41KZn03IJhsOCe2nPg6v9ZIg2UlNPfDSJJHkUsjqAt6BSwL/s320/Dibujo2.bmp" alt="" id="BLOGGER_PHOTO_ID_5210966280938012754" border="0" /></a><span style="font-weight: bold;">veremos las opciones del servidor pero como lo que nos interesa es la creacion del certifiacdo hiremos ala pestaña seguridad de directorios.</span><br /><a style="font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhJ_8B-UTWsagJ0Ief0Fe1XFqTZV5gfsFdD5ALaKyJoCtMxCOwo7XUxiLX7zFPr8jIyQkb2oOLNCwW86M9oJupEwGtP-CbhZpgpCE_tLmY-wASD4ux-2cA4DOzpvcZb8_x1ZNDQPSBOJK7W/s1600-h/Dibujo3.bmp"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhJ_8B-UTWsagJ0Ief0Fe1XFqTZV5gfsFdD5ALaKyJoCtMxCOwo7XUxiLX7zFPr8jIyQkb2oOLNCwW86M9oJupEwGtP-CbhZpgpCE_tLmY-wASD4ux-2cA4DOzpvcZb8_x1ZNDQPSBOJK7W/s320/Dibujo3.bmp" alt="" id="BLOGGER_PHOTO_ID_5210967006630747202" border="0" /></a><span style="font-weight: bold;">aca encontaremos las opciones de la creacion de certificados le damos clicl en la opcion creacion de certificados</span><a style="font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhj-jNRJowSSZK-O8JBB9PUAegcWnBMlLtWy0Hc8UNUKJKH2-9UMyuMYN1NQGi0_dtXhoGAWIoei1UqUq1uZGmoqTnmLpt1C3D4g15wR6eQtFeHsOKbXW6w6Waep1nID4f85I2ia6gsV0Ub/s1600-h/Dibujo4.bmp"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhj-jNRJowSSZK-O8JBB9PUAegcWnBMlLtWy0Hc8UNUKJKH2-9UMyuMYN1NQGi0_dtXhoGAWIoei1UqUq1uZGmoqTnmLpt1C3D4g15wR6eQtFeHsOKbXW6w6Waep1nID4f85I2ia6gsV0Ub/s320/Dibujo4.bmp" alt="" id="BLOGGER_PHOTO_ID_5210968199879298290" border="0" /></a><span style="font-weight: bold;">ya entramos en el asistente para la creacion del nuevo certificado, damos click en siguiente.</span><br /><br /><a style="font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjXO0KWTcpgwsV5Sb8P-v6b685XXpxRJjIRFIBSTMB0KQxH96JjwSYNfTepWRBOYhZcKKr90llyaqjPimM384casJaPMxy4edi4Ig0Av6wuE2zj4dE5Z_fG34KrQ2noyEbCdFon7rUsxUUe/s1600-h/Dibujo5.bmp"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjXO0KWTcpgwsV5Sb8P-v6b685XXpxRJjIRFIBSTMB0KQxH96JjwSYNfTepWRBOYhZcKKr90llyaqjPimM384casJaPMxy4edi4Ig0Av6wuE2zj4dE5Z_fG34KrQ2noyEbCdFon7rUsxUUe/s320/Dibujo5.bmp" alt="" id="BLOGGER_PHOTO_ID_5210968735278784306" border="0" /></a><br /><span style="font-weight: bold;">en esta opcion nos mostrara varias opciones de certificados pero nosotros escogeremos la opcion crear un certificado nuevo.</span><br /><a style="font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh5Jc0mw2CxguBEhlTln9Xl3SNBxq-J8S4GDrty6drZytZRbhF-mV96cvh3uj95hEBdKDDv3nXJTBbOeRXW-tj4J2M9MXDzyFK6PUGbdLM3FaHphZ0LkBmdEZ3eaGFtxbkcQSQSWPbpOoZD/s1600-h/Dibujo6.bmp"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh5Jc0mw2CxguBEhlTln9Xl3SNBxq-J8S4GDrty6drZytZRbhF-mV96cvh3uj95hEBdKDDv3nXJTBbOeRXW-tj4J2M9MXDzyFK6PUGbdLM3FaHphZ0LkBmdEZ3eaGFtxbkcQSQSWPbpOoZD/s320/Dibujo6.bmp" alt="" id="BLOGGER_PHOTO_ID_5210969125004786018" border="0" /></a><span style="font-weight: bold;">por defecto sale la opcion preparar la peticion ahora para enviarla mas tarde ,y damos click en siguiente</span><a style="font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj4ix_Kz6AHB71XBkBMQfcr0dB9OSg_-UCNaejad7JXjDFcqJGD1akHyoag0B_QxyA_zjD8jd1KNOF06FLwYZ3a3pBgy1SBvGi1kMh2OtMbHpLvfP7nldL80yMNQCtb_TOIKA29y1gAWvKu/s1600-h/Dibujo7.bmp"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj4ix_Kz6AHB71XBkBMQfcr0dB9OSg_-UCNaejad7JXjDFcqJGD1akHyoag0B_QxyA_zjD8jd1KNOF06FLwYZ3a3pBgy1SBvGi1kMh2OtMbHpLvfP7nldL80yMNQCtb_TOIKA29y1gAWvKu/s320/Dibujo7.bmp" alt="" id="BLOGGER_PHOTO_ID_5210969754401691602" border="0" /></a><br /><span style="font-weight: bold;">en esta opcion le damos el nombre del certificado que vamos a utilizar le podemos dar la longitud del certificado pero dejaremos la que hay por defecto 10024, damos click en siguiente</span><br /><a style="font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgOHUDp-o5-Fot8j_iLm1S5w8bBLYB16Ig2iUSvIiG3tV-2pg_FKebUBFhsLQwdxSUEQy9tB1onQZe0NmbPkDAm1diI3ateQuJNsk0jr1AjMh4Rs6aX9EIecPS3wzJwc9gwk-GY_6rY6bMY/s1600-h/Dibujo8.bmp"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgOHUDp-o5-Fot8j_iLm1S5w8bBLYB16Ig2iUSvIiG3tV-2pg_FKebUBFhsLQwdxSUEQy9tB1onQZe0NmbPkDAm1diI3ateQuJNsk0jr1AjMh4Rs6aX9EIecPS3wzJwc9gwk-GY_6rY6bMY/s320/Dibujo8.bmp" alt="" id="BLOGGER_PHOTO_ID_5210970557768684978" border="0" /></a><span style="font-weight: bold;">en esta opcion damos el nombre de nuestra organizacion y de nuestar unidad organizativa ,click en siguiente</span><a style="font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiNllskC97OPZe8VN2Q3SRL7w-SsLw_3IaqMouLYMohfSi2YWrl5IrqeQcBP09wuDvuNZ2acwDfZeuIs9ZZz5e1Hxo6fDCA1jxcqala7mlAFyA6EgYZnomh8A0RdQ8wSExxESZozO00YrGX/s1600-h/Dibujo9.bmp"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiNllskC97OPZe8VN2Q3SRL7w-SsLw_3IaqMouLYMohfSi2YWrl5IrqeQcBP09wuDvuNZ2acwDfZeuIs9ZZz5e1Hxo6fDCA1jxcqala7mlAFyA6EgYZnomh8A0RdQ8wSExxESZozO00YrGX/s320/Dibujo9.bmp" alt="" id="BLOGGER_PHOTO_ID_5210971092214262514" border="0" /></a><span style="font-weight: bold;">aca se definira el nombre del servidor dejaremos el que sale por defecto,click en siguiente</span><br /><a style="font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjrDR2WiABBSkU2O6XOrrNUna6zNlSv0A7MpbvgpRyzbQDUHrRHNO9nwvfqlhiL7wlQJD8YxrATHzzCxpbMiB699SapCiNQsUWMIDcMadMtH7kucn67siEDJMgo5KtV8d3KFEP7syT7rkF5/s1600-h/Dibujo10.bmp"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjrDR2WiABBSkU2O6XOrrNUna6zNlSv0A7MpbvgpRyzbQDUHrRHNO9nwvfqlhiL7wlQJD8YxrATHzzCxpbMiB699SapCiNQsUWMIDcMadMtH7kucn67siEDJMgo5KtV8d3KFEP7syT7rkF5/s320/Dibujo10.bmp" alt="" id="BLOGGER_PHOTO_ID_5210971730762244386" border="0" /></a><span style="font-weight: bold;">en esta opcion le daremos a nuestro certificado las opciones de localizacion eligiendo nuestro pais,estado,ciudad , click en siguiente.</span><br /><a style="font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi6Vt8h6DSTZr1MvZbnxy4U2MezYp41Q4q2enyupOwMTWEg-J5zz5sxs9BZ3J_MHcCSIT5Yj94l8g7_lcCBx21LkkN8kCjJIYS2_rgdb6Fdcd751T9BR-4yb_llqASxd2KHzhw47mRNwDmh/s1600-h/Dibujo11.bmp"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi6Vt8h6DSTZr1MvZbnxy4U2MezYp41Q4q2enyupOwMTWEg-J5zz5sxs9BZ3J_MHcCSIT5Yj94l8g7_lcCBx21LkkN8kCjJIYS2_rgdb6Fdcd751T9BR-4yb_llqASxd2KHzhw47mRNwDmh/s320/Dibujo11.bmp" alt="" id="BLOGGER_PHOTO_ID_5210972412950899506" border="0" /></a><span style="font-weight: bold;">en esta opcion se le da el nombre al certificado que por defecto sera certreq.txt, click en siguiente</span><br /><a style="font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEglPYesTq2ITnQNvR9CLub1JjCEEOM1hEWSpH4FTyG75IJI0Hi7sgFJRv7c_Hc0yC9ehngmVHtQSVjxLRi3-YAsmFFqMCIg2V6L8jRpSbsOstQWw3SmMq6TcGlLWaAKj9z_GwYiksg3Vpfu/s1600-h/Dibujo12.bmp"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEglPYesTq2ITnQNvR9CLub1JjCEEOM1hEWSpH4FTyG75IJI0Hi7sgFJRv7c_Hc0yC9ehngmVHtQSVjxLRi3-YAsmFFqMCIg2V6L8jRpSbsOstQWw3SmMq6TcGlLWaAKj9z_GwYiksg3Vpfu/s320/Dibujo12.bmp" alt="" id="BLOGGER_PHOTO_ID_5210973153408621778" border="0" /></a><span style="font-weight: bold;">aca nos muestra un resumen de toda la informacion que va a contener el certificado que se v a crear.</span><br /><a style="font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEinaTqHQ-EbnBB7aBQ8OzYCj8M1LuH5ayF6YXTkAyoJrabySX7qGHvDY-IDPXEgMFJnTEhx_6TxVsaE23VEilJ4HeJBhImb2eCXiStF290iZnm3a8nXChgjdru8SVms2YmbcL-smA46YQrn/s1600-h/Dibujo13.bmp"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEinaTqHQ-EbnBB7aBQ8OzYCj8M1LuH5ayF6YXTkAyoJrabySX7qGHvDY-IDPXEgMFJnTEhx_6TxVsaE23VEilJ4HeJBhImb2eCXiStF290iZnm3a8nXChgjdru8SVms2YmbcL-smA46YQrn/s320/Dibujo13.bmp" alt="" id="BLOGGER_PHOTO_ID_5210973599958603218" border="0" /></a><span style="font-weight: bold;">ya se a creado en certificado y solo falta enviarlo al autoridad certificadora para que lo firme y subirlo al servidor web.<br /><br /></span><span style="font-weight: bold; font-style: italic;">esto se hiso con la colaboracion de </span><a style="font-weight: bold; font-style: italic;" href="http://orbit-sena.blogspot.com/">Alexis Cerpa</a><span style="font-weight: bold; font-style: italic;"> y </span><a style="font-weight: bold; font-style: italic;" href="http://trabajosdeseguridad.blogspot.com/">Daniel Ramirez</a>CrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com0tag:blogger.com,1999:blog-4845635447704119827.post-58778455551714889942008-06-12T04:30:00.000-07:002008-06-13T06:17:08.584-07:00Creacion de Certificados para Servidor Web en Linux<span style="font-weight: bold; font-style: italic;">Generar Certificados De Cliente: </span><br /><br /><span style="font-weight: bold; font-style: italic;">Esta sera la explicacion de la crecion d un certificado para un servidor web (apache),en linux con openssl;El certificado se crea desde el equipo cliente de la siguiente manera </span><br /><span style="font-style: italic;"><br />#$openssl req -x509 -newkey rsa:2048 -keyout cakey.pem -days </span><br /><span style="font-style: italic;">365 -out cacert.pem</span><span style="font-weight: bold; font-style: italic;"> </span><br /><span style="font-weight: bold; font-style: italic;"><br />Con este comando ademas de generar el certificado tambien generamos las llaves publica y privada del servidor, pero al darle la opcion </span><span style="font-style: italic;">-x509<span style="font-weight: bold;"> le vamos a decir que cree un certificado firmado por nosotros mismos no por la entidad certificadora.<br /></span></span><span style="font-style: italic;"><br />#$openssl req -newkey rsa:2048 -keyout cakey.pem -days </span><span style="font-style: italic;">365 -out cacert.pem</span><span style="font-weight: bold; font-style: italic;"> </span><br /><span style="font-style: italic;"><span style="font-weight: bold;"><br /></span></span><span style="font-weight: bold;"><span style="font-style: italic;">con este comando creamos el certificados para que los firme la entidad certificadora</span></span><span style="font-weight: bold; font-style: italic;"> y luego para enviar el ertificado ala entidad certificadora como estamos en linux lo haremos por medio de ssh: </span><br /><span style="font-style: italic;"><br />#$scp cacert.pem root@[DIR IP de la AC]:/tmp </span><br /><span style="font-weight: bold; font-style: italic;"><br />para hacer esto se necesita tener pasword de root, en caso de que no seas el adminisrtador de la entidad certificadora y no tengas contraseña de root por obvias razones puedes pasar tu certificado con otro usuario para esto le dises al administrador de el CA te cree un usuario y lo copias de la siguiente manera </span><br /><span style="font-weight: bold; font-style: italic;">ejemplo </span><br /><span style="font-style: italic;"><br />$scp cacert.pem miuser@[aqui la ip de el CA]:/home/miuser </span><br /><span style="font-weight: bold; font-style: italic;"><br />ya solo falta que la CA (entidad certificadora) firme el certificado nos devuelva el certificado ya firmado.<br /><br /></span><span style="font-weight: bold; font-style: italic;">esto se hiso con la colaboracion de </span><a style="font-weight: bold; font-style: italic;" href="http://orbit-sena.blogspot.com/">Alexis Cerpa</a><span style="font-weight: bold; font-style: italic;"> y </span><a style="font-weight: bold; font-style: italic;" href="http://trabajosdeseguridad.blogspot.com/">Daniel Ramirez</a>CrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com0tag:blogger.com,1999:blog-4845635447704119827.post-66583076175850721002008-06-11T04:53:00.000-07:002008-06-11T05:50:32.586-07:00OpenSSL y Servidor web Seguro<span style="font-weight: bold; font-style: italic;">En esta entrada mostraremos los pasos para la creacion de un entidad certificadora con OpenSSL y la implementacion de un servidor web seguro.</span><br /><br /><span style="font-weight: bold; font-style: italic;">lo primero que haremos es intalar OpenSSL </span><br /><span style="font-style: italic;">#apt-get install openssl</span><br /><br /><span style="font-weight: bold; font-style: italic;">luego vamos a crear lo siguientes directorios dentro del directorio de openssl /etc/ssl</span><br /><br /><span style="font-style: italic;">#mkdir certificadora/ </span><br /><span style="font-style: italic;">#mkdir certificadora/certs </span><br /><span style="font-style: italic;">#mkdir certificadora/private </span><br /><span style="font-style: italic;">#mkdir certificadora/newcerts </span><br /><span style="font-style: italic;">#mkdir certificadora/crl</span><br /><br /><span style="font-weight: bold; font-style: italic;">luego dspues de crear los directorios pasamos a editar el archivo de configuracion de OpenSSL </span><br /><br /><span style="font-style: italic;">#pico /etc/ssl/openssl.cnf</span><br /><br /><span style="font-weight: bold; font-style: italic;">en el archivo de configuracion vamos a editar las siguientes lineas </span><br /><br /><span style="font-style: italic;">dir = /etc/ssl/certificadora </span><br /><br /><span style="font-style: italic;">certs = /etc/ssl/certificadora/certs </span><br /><br /><span style="font-style: italic;">crl_dir = /etc/ssl/certificadora/crl </span><br /><br /><span style="font-style: italic;">database = /etc/ssl/certificadora/index.txt </span><br /><br /><span style="font-style: italic;">new_certs_dir = /etc/ssl/certificadora/newcerts </span><br /><br /><span style="font-style: italic;">certificate = /etc/ssl/certificadora/pub.crt </span><br /><br /><span style="font-style: italic;">serial = /etc/ssl/certificadora/serial </span><br /><br /><span style="font-style: italic;">private_key = /etc/ssl/certificadora/private/priv.key </span><br /><br /><span style="font-style: italic;">default_days = 365 # dias en que caduca el certificado</span><br /><br /><span style="font-weight: bold; font-style: italic;">en lo anterior le estamos indicando al opensll los directorios don de va a guardar las llaves que se van a crear</span><br /><br /><span style="font-weight: bold; font-style: italic;">ahora crearemos un certificado que identifique a nuestra entidad certificadora</span><br /><br /><span style="font-style: italic;">#openssl req -nodes -new -keyout midominio.key -out midominio.csr</span><br /><br /><span style="font-weight: bold; font-style: italic;">y luego lo firmamos</span><br /><br /><span style="font-style: italic;">#openssl ca -out midominio.crt -in midominio.csr</span><br /><br /><span style="font-weight: bold; font-style: italic;">ya con esto tenemos lista nuestra entidad certificadora y ya podemos firmar los certificados.</span><br /><br /><span style="font-weight: bold; font-style: italic;">ya despues de que el cliente cree su certificado y lo mande a ala autoridad certificador pasamos a firmarlo.y con el certificado firmado ya se podra crear el servidor web seguro.</span><br /><br /><span style="font-weight: bold; font-style: italic;">este seria el comando con el que se firman los certificados</span><br /><br /><span style="font-style: italic;">#openssl ca -out certificado.crt -in cacert.pem</span><span style="font-weight: bold; font-style: italic;">(este seria el nombre del certificado)</span><br /><span style="font-weight: bold; font-style: italic;">tomara el certificado cacert.pem lo firmara y lo sacara como certificado.crt</span><br /><br /><span style="font-weight: bold; font-style: italic;">ya despues de haber firmado el certificado pasaremos ala implementacion del servidor web seguro, para hacer esto deves tener tu servidor web montado y funcionando.nosotros lo implementamos en un servidor apache 2.6.</span><br /><br /><span style="font-weight: bold; font-style: italic;">ahora pasamos a modificar un archivo del servidor web apache, agregamos las siguiente lineas al siguiente archivo</span><br /><br /><span style="font-style: italic;">#pico /etc/apache2/sites-available/default</span><br /><br /><span style="font-style: italic;">NameVirtualHost *:443 </span><br /><span style="font-style: italic;">ServerAdmin sgarcia@misena.edu.co </span><br /><span style="font-style: italic;">DocumentRoot /var/www/ </span><br /><span style="font-style: italic;">SSLEngine on </span><br /><span style="font-style: italic;">SSLCertificateFile /etc/ssl/certfirmado.crt [ruta del certificado firmado] </span><br /><span style="font-style: italic;">SSLCertificateKeyFile /etc/ssl/cakey.pem [ruta de la llave privada creada] anteriormente </span><br /><span style="font-style: italic;">ServerName mypage.mydomain.com </span><br /><span style="font-style: italic;">Options Indexes FollowSymLinks MultiViews </span><br /><span style="font-style: italic;">AllowOverride None </span><br /><span style="font-style: italic;">Order allow,deny </span><br /><span style="font-style: italic;">allow from all </span><br /><br /><span style="font-weight: bold; font-style: italic;">y luego habilitamos el modulo de apache con ssl </span><br /><br /><span style="font-style: italic;">#a2enmod</span><br /><br /><span style="font-weight: bold; font-style: italic;">ya con esto estaria funcionando nuestro servidor apache con ssl y nuestra entidad certificadora deberia estar firmando certificados normalmente</span><br /><br /><span style="font-weight: bold; font-style: italic;">Esto se hiso con la colaboracion de </span><a style="font-weight: bold; font-style: italic;" href="http://orbit-sena.blogspot.com/">Alexis Cerpa</a><span style="font-weight: bold; font-style: italic;"> y </span><a style="font-weight: bold; font-style: italic;" href="http://trabajosdeseguridad.blogspot.com/">Daniel Ramirez</a>CrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com0tag:blogger.com,1999:blog-4845635447704119827.post-5764266266047796582008-06-09T06:56:00.000-07:002008-06-09T07:04:21.997-07:00Noticia sobre Windows 7<table border="0" cellpadding="0" cellspacing="5" width="561"><tbody><tr style="font-weight: bold;"><td><span class="cont_not"><p>Bill Gates y Steve Ballmer, los dos máximos jefes<br />al interior de Microsoft, presentaron este martes<br />los primeros detalles que se conocen de la<br />siguiente versión del sistema operativo para<br />computador más usado del mundo. </p> <p>Windows 7 es el nombre código del reemplazo<br />de Windows Vista, sistema que se lanzó al<br />público en enero del 2006 y que tendrá la<br />opción de ser operado con los dedos de la<br />mano en el monitor del PC. </p> <p>La próxima edición de Windows estará a la<br />venta a finales del 2009, lo que supone un<br />adelanto no convencional en la tradición de<br />Microsoft. </p> <p>Windows XP duró cinco años en el mercado<br />(aún se mantiene vigente), antes de la<br />presentación de Windows Vista. </p> <p>Durante la presentación de Windows 7, en la<br />conferencia 'D: All Things Digital', auspiciada<br />por el diario <em>The Wall Street Jornal </em>en Carlsbad,<br />California, E.U., los ejecutivos de Microsoft<br />demostraron la capacidad del nuevo sistema<br />de reconocer los movimientos de los dedos<br />en pantalla para la operación de los programas,<br />muy parecido a como funciona el teléfono<br />iPhone de Apple. </p> <p>"Hoy casi toda la interactuación (entre las<br />personas y el computador) es a través del<br />teclado y el ratón", dijo Gates. "En los próximos<br />años, el papel de la voz, la visión, la tinta<br />será enorme", afirmó el co-fundador de<br />Microsoft.</p></span></td> </tr> <tr style="font-weight: bold;"> <td><p align="justify"> </p><span><span class="cont_not"><span><span class="cont_not"><br />Esta es una idea de como seria el<br />funcionamiento del nuevo sistema<br />operativo de Microsoft Windows 7</span></span></span></span><span><span class="cont_not"><span><span class="cont_not"><span><span class="cont_not"><span><span class="cont_not"><span><span class="cont_not"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhQcqb5Fr1OJNL7obx8PZGO0XMssC83YcqD_lf8qQ1aUK_o4tjI3IBhd_VqcYt55WPygjgOzxI2fSXUUErkNvi_VVrMI4Xk6rjTA02slmjv5u2Hh-jFmH7v-0h8fOFdvV4wilt527dIrTw9/s1600-h/IMAGEN-3867658-0.JPG"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhQcqb5Fr1OJNL7obx8PZGO0XMssC83YcqD_lf8qQ1aUK_o4tjI3IBhd_VqcYt55WPygjgOzxI2fSXUUErkNvi_VVrMI4Xk6rjTA02slmjv5u2Hh-jFmH7v-0h8fOFdvV4wilt527dIrTw9/s320/IMAGEN-3867658-0.JPG" alt="" id="BLOGGER_PHOTO_ID_5209881827750846962" border="0" /></a></span></span></span></span></span></span></span></span></span></span></td></tr></tbody></table>CrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com0tag:blogger.com,1999:blog-4845635447704119827.post-14647958516870442832008-06-06T06:09:00.000-07:002008-06-06T06:32:50.950-07:00Conexion Gateway a Gateway<span style="font-weight: bold; font-style: italic;"><a href="http://tareasdeseguridad.blogspot.com/2008/06/officeconect-vpn-firewall-3c0m.html">Que es 3COM VPN Firewall</a><br /><br />En esta entrada se mostrara como se hiso la conexion entre los distintos dipositivos en nuestro salon , se conectaron 5 dipositivos distintos y se logro una conexion de tunel exitosa entre todos.</span><a style="font-weight: bold; font-style: italic;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj6zn20kyH3Cgkbd_fofn9ORuxSwrb3Q8G_etAXzPvqaqiA7QeNmxxTu8K5b3-eRrdYiR6EfxLzSPIsSlIhpcc_M9rsYPdKnhW911VKyrnD-PIhg6wYNdxGcg995cLtTlZrq_-cW8NtU102/s1600-h/Pantallazo-5.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj6zn20kyH3Cgkbd_fofn9ORuxSwrb3Q8G_etAXzPvqaqiA7QeNmxxTu8K5b3-eRrdYiR6EfxLzSPIsSlIhpcc_M9rsYPdKnhW911VKyrnD-PIhg6wYNdxGcg995cLtTlZrq_-cW8NtU102/s320/Pantallazo-5.png" alt="" id="BLOGGER_PHOTO_ID_5208756127673462498" border="0" /></a><span style="font-weight: bold; font-style: italic;">Esta seria la configuracion para la comunicacion de los dipositivos de modo gateway a gateway donde se escogen los prtocolos que se van a usar en la comunicacion que son IPSec y L2TP define una llave precompartida y la identificacion de l dipositivo que esta ves se hiso con la opcion un nombre para esta unidad y se fenio un nombre "fuji"</span><br /><br /><br /><a style="font-weight: bold; font-style: italic;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEieHDQePa1fjpjPdWPeWITBEVJFMGURe8O44pETdoaLOLKe79Xqu3enFi43tvtVr-p7QhNd5QfjzsDflopRAdzZCuSJJst7Zu_UwN3ciChLyzeQOv3BxBTp6M25PLZRHF8oZqQd5XxFOmvL/s1600-h/Pantallazo.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEieHDQePa1fjpjPdWPeWITBEVJFMGURe8O44pETdoaLOLKe79Xqu3enFi43tvtVr-p7QhNd5QfjzsDflopRAdzZCuSJJst7Zu_UwN3ciChLyzeQOv3BxBTp6M25PLZRHF8oZqQd5XxFOmvL/s320/Pantallazo.png" alt="" id="BLOGGER_PHOTO_ID_5208757098848669554" border="0" /></a><br /><span style="font-weight: bold; font-style: italic;">Esta seria la configuracion de los tuneles que se van a usar en la comunicaion con los distintos dispositivos se definen los algoritmos de encriptacion la llave publica del dispositivo al que nos queremos conectar y el IDRED de la red privada del mismo y se define la misma llave precomparida que se definio anteriormente</span><br /><br /><a style="font-weight: bold; font-style: italic;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEicIk3jq3ljx2DZKqbqslVKlOcdvX6ewGrsAZeWsjYmZ8VWaTsUUhxUlrDKzL62sk9S9MCCgrxD9sp2dX2xylGpt7FsRbgm0Ek2KtrUgjFdupQrhrfjEi5dtrbbVVhiA2cz1lTjxhAQuN7L/s1600-h/Pantallazo-3.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEicIk3jq3ljx2DZKqbqslVKlOcdvX6ewGrsAZeWsjYmZ8VWaTsUUhxUlrDKzL62sk9S9MCCgrxD9sp2dX2xylGpt7FsRbgm0Ek2KtrUgjFdupQrhrfjEi5dtrbbVVhiA2cz1lTjxhAQuN7L/s320/Pantallazo-3.png" alt="" id="BLOGGER_PHOTO_ID_5208755947021218578" border="0" /></a><br /><span style="font-weight: bold; font-style: italic;">Ya como se puede ver en la imgen anterior se establecieron varios tuneles con diferentes redes y diferentes dispositivos .y hasi ya podemos acceder alos recursos que hay dentro de las diferentes redes a las que nos conectamos y acceder a recursos conpartidos y diferentes servicos que se hallan publicado dentro de cualquier red desde cualquier red.</span>CrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com0tag:blogger.com,1999:blog-4845635447704119827.post-17551852706027658042008-06-06T05:51:00.000-07:002008-06-06T06:34:04.971-07:00Coneccion de un usuario remoto con VPN Firewall<span style="font-weight: bold;"><a href="http://tareasdeseguridad.blogspot.com/2008/06/officeconect-vpn-firewall-3c0m.html">Que es VPN Firewall</a><br /><br />En esta entrada se mostrara una conexion de un usuario remoto a la red privada que se creo utilizando el Firewall VPN y un usuario remoto que se conetara a nuestra red.</span><br /><br /><a style="font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgUQvNxiFWg5yjmL5Bf4xiRQb7N9RbIixKcF4E4grvlD7rlmeVz9wiUb2T0VzoZaooGJisZO36laKuep10DBbWw1OswzdM8PWieL1u3zhfFam5jOfCTuHsuxNzpmmT8KajsekRRWMFIpulG/s1600-h/Pantallazo.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgUQvNxiFWg5yjmL5Bf4xiRQb7N9RbIixKcF4E4grvlD7rlmeVz9wiUb2T0VzoZaooGJisZO36laKuep10DBbWw1OswzdM8PWieL1u3zhfFam5jOfCTuHsuxNzpmmT8KajsekRRWMFIpulG/s320/Pantallazo.png" alt="" id="BLOGGER_PHOTO_ID_5208751398391983778" border="0" /></a><span style="font-weight: bold;">aqui activaremos el protocolo que se va a utilizar y la llave precompartida, como se va a identificar el firewall que yo puse con una direccion ip y el rango de direcciones ip que se repartira a los usuarios que se conectaran remotamente.</span><br /><br /><a style="font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjK7H4udE1omRALXT_NBB8zbzs4h-5ZFO2CwAKI5eitJSs2dae4Y8jrMbNoZteZHjqdwn0Md1iqB6OvU_5AEOv4vSoqBuCocvApU7use0_WrPWAk8K2oQ3MjUMeRP0FbSMK4uqvarlGpC4_/s1600-h/Pantallazo-4.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjK7H4udE1omRALXT_NBB8zbzs4h-5ZFO2CwAKI5eitJSs2dae4Y8jrMbNoZteZHjqdwn0Md1iqB6OvU_5AEOv4vSoqBuCocvApU7use0_WrPWAk8K2oQ3MjUMeRP0FbSMK4uqvarlGpC4_/s320/Pantallazo-4.png" alt="" id="BLOGGER_PHOTO_ID_5208752441771648338" border="0" /></a><br /><span style="font-weight: bold;">luego se configurar la conexion remota para que el usuario remoto se pueda conectar a nuestra lan se escoge el protocolo que se va a usar el nombre de usuario y se le da la misma contraseña que se definio anteriormente.</span><br /><br /><a style="font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhvjhH9pTY2SOc1atwq_HujWurYCryyKLLEMNun0UlV9A7GHnTKygtPXXuPZSCv2tGGCFgxsr3RxLTkU_KaDmSAaYdrHj4Su9Cvvt29efT4nHfFw4LGrQUDRRGR_hZP1OTpFpsBpcCA8gVz/s1600-h/Pantallazo-1.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhvjhH9pTY2SOc1atwq_HujWurYCryyKLLEMNun0UlV9A7GHnTKygtPXXuPZSCv2tGGCFgxsr3RxLTkU_KaDmSAaYdrHj4Su9Cvvt29efT4nHfFw4LGrQUDRRGR_hZP1OTpFpsBpcCA8gVz/s320/Pantallazo-1.png" alt="" id="BLOGGER_PHOTO_ID_5208754024551395250" border="0" /></a><span style="font-weight: bold;">por ultimo veremos la conexion establecida por el usuario a nuestra red LAN </span>CrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com0tag:blogger.com,1999:blog-4845635447704119827.post-25976452057427036002008-06-06T05:27:00.000-07:002008-06-06T05:45:32.286-07:00OfficeConect VPN Firewall 3C0M<p style="font-weight: bold; font-style: italic;"><span class="normalBold">El VPN Firewall</span></p> <p style="font-weight: bold; font-style: italic;">El 3Com OfficeConnect VPN Firewall protege una red privada al impedir el acceso no autorizado a la red y bloquear los ataques de denegación de servicios (DoS), así como otros tipos de ataques. Diseñado para pequeñas empresas con múltiples ubicaciones y trabajadores remotos, el OfficeConnect VPN Firewall puede iniciar y terminar hasta 50 VPNs simultáneas tanto para comunicaciones 'ubicación a ubicación', como de 'usuario a ubicación'. Permite a hasta 253 usuarios compartir un acceso seguro a Internet mediante una única conexión de banda ancha.</p><br /><span style="font-weight: bold; font-style: italic;">Tiene varias herramientas adicionales que tambien pueden ser de mucha ayuda para la seguridad de nuestra red </span><br /><p style="font-weight: bold; font-style: italic;"><span class="normalBold"><br /></span></p><p style="font-weight: bold; font-style: italic;"><span class="normalBold">El filtro de contenidos</span></p><span style="font-weight: bold; font-style: italic;">El 3Com OfficeConnect Content Filter mejora el sistema integrado de filtrado en el OfficeConnect VPN Firewall mediante el redireccionamiento de las solicitudes de acceso a Internet a una base de datos con millones de URLs definidas en 40 categorías. Esta base de datos es objeto de un meticuloso mantenimiento, por lo que los administradores pueden ofrecer la más alta calidad de filtrado de contenidos al hacer simplemente clic sobre una categoría de contenidos.</span><br /><br /><span style="font-weight: bold; font-style: italic;"><br />Traffic Shaping </span><br /><br /><span style="font-weight: bold; font-style: italic;">Esta opcion sirve para darle priorida a algun tipo de trafico ya sea http o ftp o cualquier otro tipo de trafico , lo que hace es que le da un privilegio a este trafico y este sera enrutado antes que cualquier otro tipo de trafico.</span><br /><br /><span style="font-weight: bold; font-style: italic;"><br />Firewall</span><br /><br /><span style="font-weight: bold; font-style: italic;">Esta opcion nos permite publicar servicios en la red externa y nos permitie definir el tipo de trafico que se va a dejar salir desde nuestra LAN.</span><br /><br /><span style="font-weight: bold; font-style: italic;"><br />VPN</span><br /><span style="font-weight: bold; font-style: italic;"><br />esta opcion nos permite configurar conexiones remotas ya sea desde un usuario remoto o desde otra LAN utlizando acceso a usuario remoto o la opcion gateway a gateway . Nos deja utilizar vaios algoritmos de encritacion tales como IPSec ,L2TP O PPTP que se utilizarian segun la necesida de uestra red.</span>CrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com0tag:blogger.com,1999:blog-4845635447704119827.post-3404207985804184972008-06-03T05:00:00.000-07:002008-06-12T04:29:14.758-07:00Firewall 3C0M con funciones Proxy ,VPN y IPSec<span style="font-weight: bold;">En esta entrada se mostrara como fue la configuracion de el dispositivo 3com con el cual se hiso una practica en la clase de filtado de paginas , paquetes y demas opciones que veremos a continuacion.</span><br /><br /><span style="font-weight: bold;">Primero lo que hay que hacer es conectar nustro equipo al dispositivo para que nos asigne una direccion ip y asi podamos acceder a el y podamos configurarlo.</span><br /><br /><span style="font-weight: bold;">Luego de haver obtenido la direccion ip y saber la direccion ip del servidor DHCP que nos la asigno ingresamos a el por medio de un navegador ,recuerda que debes decirle que no use proxy para la coneccion a esa ip.</span><br /><br /><a style="font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgkPyYjXwo3Z8jaL820kmW7P4n6sq5_Ed9aWBGsXSDNc1lMJef6x8IOSZUVrQ3xF5SH2JjWqzt7ChbCORvMaN4mfrqSAXFZNNP8gvhUtdOXVxBO-JnHsmmydCx-P4D4CTzSFLK1sDmfOk6I/s1600-h/Pantallazo-33.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgkPyYjXwo3Z8jaL820kmW7P4n6sq5_Ed9aWBGsXSDNc1lMJef6x8IOSZUVrQ3xF5SH2JjWqzt7ChbCORvMaN4mfrqSAXFZNNP8gvhUtdOXVxBO-JnHsmmydCx-P4D4CTzSFLK1sDmfOk6I/s320/Pantallazo-33.png" alt="" id="BLOGGER_PHOTO_ID_5207628401269255666" border="0" /></a><span style="font-weight: bold;">Al conectarse al dispositivo esta sera la pantalla de vienvenida donde nos pedira un password para poder ingresar el password por defecto es admin</span><br /><br /><br /><span style="font-weight: bold;">ahora pasaremos a la configuracion del dispositivo para que funcione segun lo deseado , lo que buscanos es que los clientes tengan acceso a internet a traves del dispositivo , publicar un servicio en un cliente del dispositivo , filtar paginas de chat y paginas porno.</span><br /><br /><br /><span style="font-weight: bold;">primero vamos a la pestaña network setting para configurar todos los parametros de la red externa (LAN exterior)por la cual va a tener salida el dispositivo</span><br /><br /><a style="font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEghu9RNr71KVhy77Mi1cf7NQO1hEAoRo0awrCAx1gMWcCsk5c_ymGqOj1p3b0LRwV7V6PdjEk0lbDSEwGpWrt-0VYvJGm3ZlDhocmnQqqErS1LIsQL_1L9WqcY1yQEvYth30TwadqpyRrc2/s1600-h/Pantallazo-4.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEghu9RNr71KVhy77Mi1cf7NQO1hEAoRo0awrCAx1gMWcCsk5c_ymGqOj1p3b0LRwV7V6PdjEk0lbDSEwGpWrt-0VYvJGm3ZlDhocmnQqqErS1LIsQL_1L9WqcY1yQEvYth30TwadqpyRrc2/s320/Pantallazo-4.png" alt="" id="BLOGGER_PHOTO_ID_5207630416864087346" border="0" /></a><span style="font-weight: bold;">le asignamos al dispositivo una direccion estatica dentro del rango de direcciones de la red externa (LAN externa) y le damos tambien los demas parametros gateway ,mascara, y DNS</span><br /><br /><span style="font-weight: bold;">luego pasamos ala pestaña que dice LAN setting para configurar los parametros de nuestra LAN aqui</span><br /><br /><a style="font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg4lAAJyaeWrprK8vzIT1WcdIQK-i98rSQjQJJhd4EjGAaQIA9khFE2P9DT8Q9v50-t-ME-qYiMF2Sdd6E77bRVurflJrhEzKnqtBddJY82Xe_wlyX9XXBjo7OQR0-8JPu6UIQsPauXD1dc/s1600-h/Pantallazo-5.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg4lAAJyaeWrprK8vzIT1WcdIQK-i98rSQjQJJhd4EjGAaQIA9khFE2P9DT8Q9v50-t-ME-qYiMF2Sdd6E77bRVurflJrhEzKnqtBddJY82Xe_wlyX9XXBjo7OQR0-8JPu6UIQsPauXD1dc/s320/Pantallazo-5.png" alt="" id="BLOGGER_PHOTO_ID_5207631579011399426" border="0" /></a><span style="font-weight: bold;">Se configura la direccion ip que va a tener el dispositivo y el rango de direcciones uqe va a repartir el sevidor DHCP</span><br /><br /><span style="font-weight: bold;">y en la pestaña DHCPclient list veremos a todos los equipos que se allan conectado al dispositivo y allan resivido direcciones ip por medio del DHCP</span><br /><br /><a style="font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhiJqZI-8_NXQnY9gm_xHnMRw7jTwHD0u6nDh_-tohXZCThxpULrbK6izAN98g132FNL2WN4eeAeOF9mwFYkXpfjT8-pL6oahi1VdduCSbEDYoJSMlLu7yxM3ieFgGqn7l_o6r9Xibf08Ei/s1600-h/Pantallazo-6.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhiJqZI-8_NXQnY9gm_xHnMRw7jTwHD0u6nDh_-tohXZCThxpULrbK6izAN98g132FNL2WN4eeAeOF9mwFYkXpfjT8-pL6oahi1VdduCSbEDYoJSMlLu7yxM3ieFgGqn7l_o6r9Xibf08Ei/s320/Pantallazo-6.png" alt="" id="BLOGGER_PHOTO_ID_5207632378667370034" border="0" /></a><br /><span style="font-weight: bold;">ahora pasamos ala opcion Advance Networking para configurar la ruta que tomara el dspositivo para sali a intenet</span><br /><br /><span style="font-weight: bold;">primero se configura el nat que va a hacer el dispositivo a la salida a la red externa que es one-to-one que ya viene por defecto</span><br /><br /><a style="font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEipl6-qy11HTThOGwGbj9oMNHebBHdTHAXY4rifKZY5xOZCljak_oTOdoxwp_7h2HT1FrnPOiFJbEEbM3m7X1hnpoGX-7NKSpN9_-DnAfg2Pg9SjOYCoiL17cSdLRBlyc2Qmz6LCHufgww-/s1600-h/Pantallazo-7.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEipl6-qy11HTThOGwGbj9oMNHebBHdTHAXY4rifKZY5xOZCljak_oTOdoxwp_7h2HT1FrnPOiFJbEEbM3m7X1hnpoGX-7NKSpN9_-DnAfg2Pg9SjOYCoiL17cSdLRBlyc2Qmz6LCHufgww-/s320/Pantallazo-7.png" alt="" id="BLOGGER_PHOTO_ID_5207633395632038354" border="0" /></a><span style="font-weight: bold;">ahora pasamos ala pestana de Static routes donde configuraremos las rutas estaticas para la comunicacon a la red externa ,se pone la descripcion de la red con la cual nos vamos a comunicar atraves del disposito ,las otras pestañas no las vamos a utlizar .</span><br /><br /><a style="font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgurH58Fc9_XZNHiPYvR5WEtj3sNdMPOXBH_jTTs_H8U96jqYSXk-x-OzjqSvLYBlv-gHfCKiUzo1fRhT6obdtTAQ_0HxUqW215jnzCWn-NWOMrZ1p7o4PyPuCpDW0lorzZ_8bEHrgXibGn/s1600-h/Pantallazo-8.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgurH58Fc9_XZNHiPYvR5WEtj3sNdMPOXBH_jTTs_H8U96jqYSXk-x-OzjqSvLYBlv-gHfCKiUzo1fRhT6obdtTAQ_0HxUqW215jnzCWn-NWOMrZ1p7o4PyPuCpDW0lorzZ_8bEHrgXibGn/s320/Pantallazo-8.png" alt="" id="BLOGGER_PHOTO_ID_5207634109711499346" border="0" /></a><br /><span style="font-weight: bold;">ahora pasamos a la opcion Firewall para definir agunos parametros de la configuracion</span><br /><a style="font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjwjCVRaI01PPdIYo2flmCqhBtmxfhTbp9ERYy1pGi73kokMY7L0ZBhHx5Ij4ijlc0XFc5FXU0AecJcRr3ydQSWU_vjHYNjkV592KYW4H7o_5zZtaTYUzQWS-qDvaN2bDwNhzZzmm-ZGy9_/s1600-h/Pantallazo-12.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjwjCVRaI01PPdIYo2flmCqhBtmxfhTbp9ERYy1pGi73kokMY7L0ZBhHx5Ij4ijlc0XFc5FXU0AecJcRr3ydQSWU_vjHYNjkV592KYW4H7o_5zZtaTYUzQWS-qDvaN2bDwNhzZzmm-ZGy9_/s320/Pantallazo-12.png" alt="" id="BLOGGER_PHOTO_ID_5207635156739661602" border="0" /></a><span style="font-weight: bold;">En esta se define una DMZ (zona desmilitarisada) para publicar el servidor web y ftp ,aca lo que hacemos es decirle que todo lo que valla para la direccion 10.3.8.147 que es la ip externa del dispositivo por el puerto 80 lo redireccion a al ip 192.168.0.144 que es donde se publico el servidor.</span><br /><br /><br /><span style="font-weight: bold;">luego en la pestaña PCprivileges vamos a definir los privilegio que van a tener los clientes que estan conectados al dispositivo que esta ves solo seles dio permisos para que se conecte a sitios http ,https ,ftp y para que se conecten con el proxy</span><br /><br /><a style="font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi2m7ImvMkA2jDeQ6DDI8_qMqQmGTMECXKBG3sdAXGm-12SOCZrKVL4ZxCVUskuV9srLlyIXbTFNSIRVdrKQz3eIuLLGPaTzuy3tw8SoIhvSf6Dgjum3_V2lwwcJuIv1uIS55NM8FWGd73L/s1600-h/Pantallazo-13.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi2m7ImvMkA2jDeQ6DDI8_qMqQmGTMECXKBG3sdAXGm-12SOCZrKVL4ZxCVUskuV9srLlyIXbTFNSIRVdrKQz3eIuLLGPaTzuy3tw8SoIhvSf6Dgjum3_V2lwwcJuIv1uIS55NM8FWGd73L/s320/Pantallazo-13.png" alt="" id="BLOGGER_PHOTO_ID_5207636603297151090" border="0" /></a><span style="font-weight: bold;">ahora en la pestaña avanzados vamos a permitir el ping desde la red externa habilitando la siguiente opcion</span><br /><br /><a style="font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgKnKoIXvO9LklV70QKdRXlz1dND5wIAoXTOmfFE7iXp0ktZAZFn0R_au4bQwkNmJiygz9P56G-f-TSLDLa9WY-rnlAmDOb-rR9DJUAALwUtFPDspyOdcLyEkvAUoEqYDb8iHZjHGaUOqRU/s1600-h/Pantallazo-15.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgKnKoIXvO9LklV70QKdRXlz1dND5wIAoXTOmfFE7iXp0ktZAZFn0R_au4bQwkNmJiygz9P56G-f-TSLDLa9WY-rnlAmDOb-rR9DJUAALwUtFPDspyOdcLyEkvAUoEqYDb8iHZjHGaUOqRU/s320/Pantallazo-15.png" alt="" id="BLOGGER_PHOTO_ID_5207637590904390210" border="0" /></a><span style="font-weight: bold;">ahora pasamos ala opcion Content filtering para hacer el filtro de las pagimas web habilitamos el content filtering y de damos la opcion allow unclassified or uknown sites (permitir los sitios sin definir o desconocidos)</span><a style="font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgeG1wuwSK_c3Oj29i5seWaZzB3hNQV4AJ83uSnl97TcAja7zJErzRNjFnEdv20HA4Gu8viyRa-xmJfDfMjvgyHXCuJyS5HlG4Rl1s7X5Ge9TVgYuvMmAj_fLJm6HrQyHCyTG2rVIkMiDvV/s1600-h/Pantallazo-16.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgeG1wuwSK_c3Oj29i5seWaZzB3hNQV4AJ83uSnl97TcAja7zJErzRNjFnEdv20HA4Gu8viyRa-xmJfDfMjvgyHXCuJyS5HlG4Rl1s7X5Ge9TVgYuvMmAj_fLJm6HrQyHCyTG2rVIkMiDvV/s320/Pantallazo-16.png" alt="" id="BLOGGER_PHOTO_ID_5207638459492760210" border="0" /></a><br /><span style="font-weight: bold;">ahora pasmos ala opcion allow/block list donde definiremos las paginas que vamos a bloquear</span><a style="font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiUCQY6h1ZjIZEM5plX5MI-M7d3yoS_dG_Di1Juk5RmjvLn_H6HCykKOthRCZJwiYuYnYjT6nm3JJBvdiboWW9l-csoISMJ4d4lYg7lOsvX7CbDOGAbktXgT0vqXTfxur0RbpRIXbrHzT6U/s1600-h/Pantallazo-17.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiUCQY6h1ZjIZEM5plX5MI-M7d3yoS_dG_Di1Juk5RmjvLn_H6HCykKOthRCZJwiYuYnYjT6nm3JJBvdiboWW9l-csoISMJ4d4lYg7lOsvX7CbDOGAbktXgT0vqXTfxur0RbpRIXbrHzT6U/s320/Pantallazo-17.png" alt="" id="BLOGGER_PHOTO_ID_5207639660402294722" border="0" /></a><br /><span style="font-weight: bold;">y ya el dispositvo deve funcionar como lo emos decedo nos debe dar salida a internet , debe publicar el servidor web interno , y nos debe hacer filtado de paginas web.</span><br /><br /><span style="font-weight: bold;">las otras opciones no as vamos a explicar puesto que hicimos uso de ellas pero tambien se debn estudiar puesto que si quisieramos hacer otro tipo de comunicacion se necesitaria la implemetacion de estas haci que es mejor estudiarlas y saber para que sirven<br /><br /></span>CrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com0tag:blogger.com,1999:blog-4845635447704119827.post-73464020375911683392008-05-30T09:15:00.000-07:002008-05-30T09:45:39.925-07:00IPSec en Linux utilizando Racoon<span style="font-weight: bold; font-style: italic;">En esta entrada se implementara Racoon con ipsec que nos permitira utilizar llaves precompartidas .</span><br /><span style="font-weight: bold; font-style: italic;">primero instalaremos el respectivo paquete de racoon</span><br /><br /><span style="font-style: italic;">#apt-get install racoon</span><br /><br /><br /><span style="font-style: italic;"><span style="font-weight: bold;">y nos vamos a configurarlo</span> #cd /etc/racoon</span><br /><br /><span style="font-weight: bold; font-style: italic;">aca se definira la llave precompartida que se utilizara en la comunicacion</span><br /><br /><span style="font-style: italic;">#pico psk.txt</span><br /><br /><span style="font-weight: bold; font-style: italic;">y esta seria la configurcion final del archivo.</span><br /><br /><span style="font-style: italic;"># IPv4/v6 addresses</span><br /><span style="font-style: italic;">#10.160.94.3 mekmitasdigoat</span><br /><span style="font-style: italic;">#172.16.1.133 0x12345678</span><br /><span style="font-style: italic;">#194.100.55.1 whatcertificatereally</span><br /><span style="font-style: italic;">#3ffe:501:410:ffff:200:86ff:fe05:80fa mekmitasdigoat</span><br /><span style="font-style: italic;">#3ffe:501:410:ffff:210:4bff:fea2:8baa mekmitasdigoat</span><br /><span style="font-style: italic;"># USER_FQDN</span><br /><span style="font-style: italic;">#foo@kame.net mekmitasdigoat</span><br /><span style="font-style: italic;"># FQDN</span><br /><span style="font-style: italic;">foo.kame.net hoge</span><br /><span style="font-style: italic;"># Direcciones IPv4</span><br /><span style="font-style: italic;">10.3.16.112 clave precompartida simple</span><br /><span style="font-style: italic;">10.3.19.10 "fuji-mauro-orbit";</span><br /><span style="font-style: italic;"># USER_FQDN</span><br /><span style="font-style: italic;">cristian@misena.edu.co Esta es una clave precompartida para una dirección de correo</span><br /><span style="font-style: italic;"># FQDN</span><br /><span style="font-style: italic;">www.spenneberg.net Esta es una clave precompartida</span><br /><br /><br /><span style="font-weight: bold; font-style: italic;">haora pasamos a configurar el archivo racoon.conf</span><br /><br /><span style="font-style: italic;">#pico racoon.conf</span><br /><br /><span style="font-weight: bold; font-style: italic;">y aca se configuraran los parametros de la comunicacion como los metodos de encriptacion y demas parmetros necesarios para la comunicacion.</span><br /><br /><span style="font-weight: bold; font-style: italic;">este seria la configuracion final del archivo.</span><br /><br /><span style="font-style: italic;">#</span><br /><span style="font-style: italic;"># NOTE: This file will not be used if you use racoon-tool(8) to manage your</span><br /><span style="font-style: italic;"># IPsec connections. racoon-tool will process racoon-tool.conf(5) and</span><br /><span style="font-style: italic;"># generate a configuration (/var/lib/racoon/racoon.conf) and use it, instead</span><br /><span style="font-style: italic;"># of this file.</span><br /><span style="font-style: italic;">#</span><br /><span style="font-style: italic;"># Simple racoon.conf</span><br /><span style="font-style: italic;">#</span><br /><span style="font-style: italic;">#</span><br /><span style="font-style: italic;"># Please look in /usr/share/doc/racoon/examples for</span><br /><span style="font-style: italic;"># examples that come with the source.</span><br /><span style="font-style: italic;">#</span><br /><span style="font-style: italic;"># Please read racoon.conf(5) for details, and alsoread setkey(8).</span><br /><span style="font-style: italic;">#</span><br /><span style="font-style: italic;">#</span><br /><span style="font-style: italic;"># Also read the Linux IPSEC Howto up at</span><br /><span style="font-style: italic;"># http://www.ipsec-howto.org/t1.html</span><br /><span style="font-style: italic;">#</span><br /><br /><span style="font-style: italic;">path pre_shared_key "/etc/racoon/psk.txt";</span><br /><span style="font-style: italic;">#path certificate "/etc/racoon/certs";</span><br /><br /><span style="font-style: italic;">remote 10.3.19.114 {</span><br /><span style="font-style: italic;"> exchange_mode main;</span><br /><span style="font-style: italic;"> proposal {</span><br /><span style="font-style: italic;"> encryption_algorithm 3des;</span><br /><span style="font-style: italic;"> hash_algorithm md5;</span><br /><span style="font-style: italic;"> authentication_method pre_shared_key;</span><br /><span style="font-style: italic;"> dh_group modp1024;</span><br /><span style="font-style: italic;"> }</span><br /><span style="font-style: italic;"> generate_policy off;</span><br /><span style="font-style: italic;">}</span><br /><br /><span style="font-style: italic;">sainfo address 10.3.16.81[any] any address 10.3.19.114[any] any {</span><br /><span style="font-style: italic;"> pfs_group modp768;</span><br /><span style="font-style: italic;"> encryption_algorithm 3des;</span><br /><span style="font-style: italic;"> authentication_algorithm hmac_md5;</span><br /><span style="font-style: italic;"> compression_algorithm deflate;</span><br /><span style="font-style: italic;">}</span><br /><br /><br /><span style="font-weight: bold; font-style: italic;">y por ultimo pasaremos a configurar el archivo de configuracion de ipsec donde solo se tendran el cuentas las bases de datos de las politicas y el modo de comunicacion que se va a usar.</span><br /><br /><span style="font-style: italic;">#!/usr/sbin/setkey -f</span><br /><br /><span style="font-style: italic;"># NOTE: Do not use this file if you use racoon with racoon-tool</span><br /><span style="font-style: italic;"># utility. racoon-tool will setup SAs and SPDs automatically using</span><br /><span style="font-style: italic;"># /etc/racoon/racoon-tool.conf configuration.</span><br /><span style="font-style: italic;">#</span><br /><br /><span style="font-style: italic;">## Flush the SAD and SPD</span><br /><span style="font-style: italic;">#</span><br /><span style="font-style: italic;">flush;</span><br /><span style="font-style: italic;">spdflush;</span><br /><br /><span style="font-style: italic;">## Some sample SPDs for use racoon</span><br /><span style="font-style: italic;">#</span><br /><span style="font-style: italic;"># spdadd 10.10.100.1 10.10.100.2 any -P out ipsec</span><br /><span style="font-style: italic;"># esp/transport//require;</span><br /><span style="font-style: italic;"># </span><br /><span style="font-style: italic;"># spdadd 10.10.100.2 10.10.100.1 any -P in ipsec</span><br /><span style="font-style: italic;"># esp/transport//require;</span><br /><span style="font-style: italic;">#</span><br /><br /><span style="font-style: italic;"># Políticas de seguridad</span><br /><span style="font-style: italic;">spdadd 10.3.16.81 10.3.19.114 any -P out ipsec</span><br /><span style="font-style: italic;"> esp/transport//require; </span><br /><span style="font-style: italic;"># ah/transport//require;</span><br /><span style="font-style: italic;">spdadd 10.3.19.114 10.3.16.81 any -P in ipsec</span><br /><span style="font-style: italic;"> esp/transport//require; </span><br /><span style="font-style: italic;"># ah/transport//require;</span><br /><br /><br /><span style="font-weight: bold; font-style: italic;">haora para probar que todo esta bien con los comandos </span><span style="font-style: italic;">#setkey -f ipsec-tools.conf</span><span style="font-weight: bold; font-style: italic;"> y </span><span style="font-style: italic;">#</span><span style="font-style: italic;">/etc/init.d/racoon restart</span><span style="font-weight: bold; font-style: italic;"> y si no nos sale ningun problema la comunicacion se hara correctamente.</span><br /><br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhvfcNWe8ISe7gsCZGsRmVw_VZIvIiYgfOyQT6o-bct0sMH_Lb-Ts6WGwZ3xyuw8cXicRfabnEBiL3Vj9xv298KE54K42Ltt5UVCgEAZVPS83G7tHMIDkIjirtoued4trG0i8nKawFWGItA/s1600-h/racoon.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhvfcNWe8ISe7gsCZGsRmVw_VZIvIiYgfOyQT6o-bct0sMH_Lb-Ts6WGwZ3xyuw8cXicRfabnEBiL3Vj9xv298KE54K42Ltt5UVCgEAZVPS83G7tHMIDkIjirtoued4trG0i8nKawFWGItA/s320/racoon.png" alt="" id="BLOGGER_PHOTO_ID_5206211582792030914" border="0" /></a>CrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com0tag:blogger.com,1999:blog-4845635447704119827.post-8137815616387749462008-05-30T06:42:00.000-07:002008-05-30T08:23:58.795-07:00IPSec en Linux con ESP<span style="font-weight: bold; font-style: italic;">En esta entrada se explicara la configuracion de ipsec en mod</span><span style="font-weight: bold; font-style: italic;">o esp (Encasulation Security Payload -Encapsulacion Segura de la carga de datos)</span> <span style="font-weight: bold; font-style: italic;">en esta entrada se explicara la configuracion de ipsec con ESP en modo transporte.</span> <span style="font-weight: bold; font-style: italic;">Este es el archivo de configuracion de ipsec utilizando ESP</span><br /><span style="font-style: italic;"><br /><span style="font-weight: bold;">Este seria el archivo de configuracion de ipsec</span><br /><br />#!/usr/sbin/setkey -f</span><br /><br /><span style="font-style: italic;"># NOTE: Do not use this file if you use racoon with racoon-tool</span><br /><span style="font-style: italic;"># utility. racoon-tool will setup SAs and SPDs automatically using</span><br /><span style="font-style: italic;"># /etc/racoon/racoon-tool.conf configuration.</span><br /><span style="font-style: italic;"># </span><br /><br /><span style="font-style: italic;">## Flush the SAD and SPD</span><br /><span style="font-style: italic;">#</span><br /><span style="font-style: italic;">flush;</span><br /><span style="font-style: italic;">spdflush;</span><br /><br /><span style="font-style: italic;">## Some sample SPDs for use racoon</span><br /><span style="font-style: italic;">#</span><br /><span style="font-style: italic;"># spdadd 10.10.100.1 10.10.100.2 any -P out ipsec</span><br /><span style="font-style: italic;"># esp/transport//require;</span><br /><span style="font-style: italic;"># </span><br /><span style="font-style: italic;"># spdadd 10.10.100.2 10.10.100.1 any -P in ipsec</span><br /><span style="font-style: italic;"># esp/transport//require;</span><br /><span style="font-style: italic;">#</span><br /><br /><span style="font-style: italic;"># SAs para ESP empleando claves largas de 192 bits (168 + 24 paridad)</span><br /><span style="font-style: italic;">add 10.3.16.81 10.3.16.84 esp 0x201 -E 3des-cbc "fuji-orbit-sena2008-1234";</span><br /><span style="font-style: italic;">add 10.3.16.84 10.3.16.81 esp 0x301 -E 3des-cbc "fuji-orbit-sena2008-1234";</span><br /><br /><br /><span style="font-style: italic;"># Políticas de seguridad</span><br /><span style="font-style: italic;">spdadd 10.3.16.81 10.3.16.84 any -P out ipsec</span><br /><span style="font-style: italic;"> esp/transport//require; </span><br /><span style="font-style: italic;"># ah/transport//require;</span><br /><span style="font-style: italic;">spdadd 10.3.16.84 10.3.16.81 any -P in ipsec</span><br /><span style="font-style: italic;"> esp/transport//require; </span><br /><span style="font-style: italic;"># ah/transport//require;<br /><br /><span style="font-weight: bold;">Luego con el comando</span> #setkey -f ipsec-tools.conf<span style="font-weight: bold;"> se cargara la configuracion del ipsec</span><br /></span><br /><span style="font-weight: bold; font-style: italic;">El mismo archivo se debe configurar el la maquina con la cual se va a comunicar cambiando los parametros de direcciones ip</span><br /><br /><br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjtTeoijPognZtF89H0rw6QfI0C05q5TDoGelc_FrqTyErGdw0nAPd0twoCgz-n1sIhKHxCrgdyei0iBa0w8vVgxv1nIBbQY-c_lua98jrkYZqE0jx53kTooLiiU4X827uzeABrHWlaxDxY/s1600-h/Pantallazo.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjtTeoijPognZtF89H0rw6QfI0C05q5TDoGelc_FrqTyErGdw0nAPd0twoCgz-n1sIhKHxCrgdyei0iBa0w8vVgxv1nIBbQY-c_lua98jrkYZqE0jx53kTooLiiU4X827uzeABrHWlaxDxY/s320/Pantallazo.png" alt="" id="BLOGGER_PHOTO_ID_5206167615211821746" border="0" /></a><br /><span style="font-weight: bold; font-style: italic;">Y como se muestra en este pantallaso este seria el resultado del intercabio de datos</span>CrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com0tag:blogger.com,1999:blog-4845635447704119827.post-84410031831762320012008-05-30T06:25:00.000-07:002008-05-30T08:22:48.523-07:00IPSec en Linux modo AH<span style="font-weight: bold; font-style: italic;">En esta entrada se explicara como es la configuracion basica del protocolo ipsec en linux y explicaremos los direnetes modos en los ke los vamos a hacer.</span><br /><br /><span style="font-weight: bold; font-style: italic;">Primero se debe instalar el paquete ipsec-tools</span><br /><br /><span style="font-style: italic;">#apt-get install ipsec-tools</span><br /><br /><span style="font-weight: bold; font-style: italic;">luego se pasa aconfigurar el archivo de configuracion de ipsec</span><br /><br /><span style="font-style: italic;">#pico ipsec-tools.conf</span><br /><br /><span style="font-weight: bold; font-style: italic;">IPSec en modo AH (autentication Header -Autenticacion de Cabezera)</span><br /><br /><span style="font-weight: bold; font-style: italic;">este es el archivo de configuracion de ipsec para que funcione con AH en modo transporte</span><br /><br /><span style="font-style: italic;">#!/usr/sbin/setkey -f</span><br /><br /><span style="font-style: italic;"># NOTE: Do not use this file if you use racoon with racoon-tool</span><br /><span style="font-style: italic;"># utility. racoon-tool will setup SAs and SPDs automatically using</span><br /><span style="font-style: italic;"># /etc/racoon/racoon-tool.conf configuration.</span><br /><span style="font-style: italic;">#</span><br /><br /><span style="font-style: italic;">## Flush the SAD and SPD</span><br /><span style="font-style: italic;">#</span><br /><span style="font-style: italic;">flush;</span><br /><span style="font-style: italic;">spdflush;</span><br /><br /><span style="font-style: italic;">## Some sample SPDs for use racoon</span><br /><span style="font-style: italic;">#</span><br /><span style="font-style: italic;"># spdadd 10.10.100.1 10.10.100.2 any -P out ipsec</span><br /><span style="font-style: italic;"># esp/transport//require;</span><br /><span style="font-style: italic;"># </span><br /><span style="font-style: italic;"># spdadd 10.10.100.2 10.10.100.1 any -P in ipsec</span><br /><span style="font-style: italic;"># esp/transport//require;</span><br /><span style="font-style: italic;">#</span><br /><br /><span style="font-style: italic;"># SAs para AH empleando claves largas de 128 bits</span><br /><span style="font-style: italic;">add 10.3.16.81 10.3.16.84 ah 0x200 -A hmac-md5 "fuji-orbit-sena2";</span><br /><span style="font-style: italic;">add 10.3.16.84 10.3.16.81 ah 0x300 -A hmac-md5 "fuji-orbit-sena2";</span><br /><br /><span style="font-style: italic;"># Políticas de seguridad</span><br /><span style="font-style: italic;">spdadd 10.3.16.81 10.3.16.84 any -P out ipsec</span><br /><span style="font-style: italic;"> ah/transport//require;</span><br /><span style="font-style: italic;">spdadd 10.3.16.84 10.3.16.81 any -P in ipsec</span><br /><span style="font-style: italic;"> ah/transport//require;</span><span style="font-style: italic;"><br /><span style="font-weight: bold;"><br /><br />luego con el comando</span> #setkey -f ipsec-tools.conf<span style="font-weight: bold;"> se cargara la configuracion del ipsec</span></span><span style="font-style: italic;"><br /></span><br /><span style="font-weight: bold; font-style: italic;">el mismo archivo se debe configurar el la maquina con la cual se va a comunicar cambiando los parametros de direcciones ip</span><br /><br /><br /><a style="font-weight: bold; font-style: italic;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhEHf6sRg0bZDMvC_nadFSo6vnCAtViWu-oZfRD1Hx43qqWo4ATW6viRd0GiCP8RW_tKX8xoOrEeftFWlPHfgkEszA5F5why7uvHq9gLLcnnQRdEg7deFbkt-43HP4q_jZv-xKSY9X2vUp2/s1600-h/Pantallazo.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhEHf6sRg0bZDMvC_nadFSo6vnCAtViWu-oZfRD1Hx43qqWo4ATW6viRd0GiCP8RW_tKX8xoOrEeftFWlPHfgkEszA5F5why7uvHq9gLLcnnQRdEg7deFbkt-43HP4q_jZv-xKSY9X2vUp2/s320/Pantallazo.png" alt="" id="BLOGGER_PHOTO_ID_5206164767648504482" border="0" /></a><br /><span style="font-weight: bold; font-style: italic;">este es un pantallaso que se hiso con la comunicacion realizada y que funciono correctamente</span>CrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com0tag:blogger.com,1999:blog-4845635447704119827.post-53938472676184136972008-05-21T08:03:00.000-07:002008-05-21T08:05:24.376-07:00Protocolo IKE<span style="font-weight: bold;">El protocolo IKE resuelve el problema más importante del establecimiento de comunicaciones seguras: la autenticación de los participantes y el intercambio de claves simétricas. Tras ello, crea las asociaciones de seguridad y rellena la SAD. El protocolo IKE suele implementarse a través de servidores de espacio de usuario, y no suele implementarse en el sistema operativo. El protocolo IKE emplea el puerto 500 UDP para su comunicación.</span><br /><br /><span style="font-weight: bold;">El protocolo IKE funciona en dos fases. La primera fase establece un ISAKMP SA (</span><i style="font-weight: bold;" class="EMPHASIS">Internet Security Association Key Management Security Association - Asociación de seguridad del protocolo de gestión de claves de asociaciones de seguridad en Internet</i><span style="font-weight: bold;">). En la segunda fase, el ISAKMP SA se emplea para negociar y establecer las SAs de IPsec.</span><br /><br /><span style="font-weight: bold;">La autenticación de los participantes en la primera fase suele basarse en claves compartidas con anterioridad (PSK - Pre-shared keys), claves RSA y certificados X.509</span><br /><p style="font-weight: bold;">La primera fase suele soportar dos modos distintos: modo principal y modo agresivo. Ambos modos autentican al participante en la comunicación y establecen un ISAKMP SA, pero el modo agresivo sólo usa la mitad de mensajes para alcanzar su objetivo. Esto, sin embargo, tiene sus desventajas, ya que el modo agresivo no soporta la protección de identidades y, por lo tanto, es susceptible a un ataque <i class="EMPHASIS">man-in-the-middle</i> (por escucha y repetición de mensajes en un nodo intermedio) si se emplea junto a claves compartidas con anterioridad (PSK). Pero sin embargo este es el único objetivo del modo agresivo, ya que los mecanismos internos del modo principal no permiten el uso de distintas claves compartidas con anterioridad con participantes desconocidos. El modo agresivo no permite la protección de identidades y transmite la identidad del cliente en claro. Por lo tanto, los participantes de la comunicación se conocen antes de que la autenticación se lleve a cabo, y se pueden emplear distintas claves pre-compartidas con distintos comunicantes.</p> <p style="font-weight: bold;">En la segunda fase, el protocolo IKE intercambia propuestas de asociaciones de seguridad y negocia asociaciones de seguridad basándose en la ISAKMP SA. La ISAKMP SA proporciona autenticación para protegerse de ataques <i class="EMPHASIS">man-in-the-middle</i>. Esta segunda fase emplea el modo rápido.</p> <p style="font-weight: bold;">Normalmente, dos participants de la comunicación sólo negocian una ISAKMP SA, que se emplea para negociar varias (al menos dos) IPsec SAs unidireccionales.</p>CrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com0tag:blogger.com,1999:blog-4845635447704119827.post-20414769676785496852008-05-21T07:59:00.000-07:002008-05-21T08:02:44.424-07:00Protocolos de IPSec<h3 style="font-weight: bold;" class="SECT3">AH - Cabecera de autenticación</h3><p style="font-weight: bold;">El protocolo AH protege la integridad del datagrama IP. Para conseguirlo, el protocolo AH calcula una HMAC basada en la clave secreta, el contenido del paquete y las partes inmutables de la cabecera IP (como son las direcciones IP). Tras esto, añade la cabecera AH al paquete.</p><div style="font-weight: bold;" class="FIGURE"><a name="AH-HEADER"></a><div class="MEDIAOBJECT"><p><img src="http://www.ipsec-howto.org/spanish/images/ah_header.png" /></p></div><p> La cabecera AH proteje la integridad del paquete</p></div><p style="font-weight: bold;">La cabecera AH mide 24 bytes. El primer byte es el campo <i class="EMPHASIS">Siguiente cabecera</i>. Este campo especifica el protocolo de la siguiente cabecera. En modo túnel se encapsula un datagrama IP completo, por lo que el valor de este campo es 4. Al encapsular un datagrama TCP en modo transporte, el valor correspondiente es 6. El siguiente byte especifica la longitud del contenido del paquete. Este campo está seguido de dos bytes reservados. Los siguientes 4 bytes especifican en <i class="EMPHASIS">Índice de Parámetro de Seguridad</i> (SPI). El SPI especifica la asociación de seguridad (SA) a emplear para el desencapsulado del paquete. El <i class="EMPHASIS">Número de Secuencia</i> de 32 bit protege frente a ataques por repeticón. Finalmente, los últimos 96 bit almacenan el <i class="EMPHASIS">código de resumen para la autenticación de mensaje</i> (HMAC). Este HMAC protege la integridad de los paquetes ya que sólo los miembros de la comunicación que conozcan la clave secreta pueden crear y comprobar HMACs.</p><p style="font-weight: bold;">Como el protocolo AH protege la cabecera IP incluyendo las aprtes inmutables de la cabecera IP como las direcciones IP, el protocolo AH no permite NAT. NAT (Network address translation - Traducción de direcciones de red, también conocido como Enmascaramiento de direcciones) reemplaza una dirección IP de la cabecera IP (normalmente la IP de origen) por una dirección IP diferente. Tras el intercambio, la HMAC ya no es válida. La extensión a IPsec NAT-transversal implementa métodos que evitan esta restricción.</p><br /><h3 style="font-weight: bold;" class="SECT3">ESP - Carga de Seguridad Encapsulada</h3><p style="font-weight: bold;">El protocolo ESP puede asegurar la integridad del paquete empleando una HMAC y la confidencialidad empleando cifrado. La cabecera ESP se genera y añade al paquete tras cifrarlo y calcular su HMAC. </p><div style="font-weight: bold;" class="FIGURE"><a name="ESP-HEADER"></a><div class="MEDIAOBJECT"><p><img src="http://www.ipsec-howto.org/spanish/images/esp_header.png" /></p></div><p> La cabecera ESP</p></div><p style="font-weight: bold;">Los primeros 32 bits de la cabecera ESP especifican el <i class="EMPHASIS">Índice de Parámetros de Seguridad</i> (SPI). Este SPI especifica qué SA emplear para desencapsular el paquete ESP. Los siguientes 32 bits almacenan el <i class="EMPHASIS">Número de Secuencia</i>. Este número de secuencia se emplea para protegerse de ataques por repetición de mensajes. Los siguientes 32 bits especifican el <i class="EMPHASIS">Vector de Inicialización</i> (IV - Initialization Vector) que se emplea para el proceso de cifrado. Los algoritmos de cifrado simétrico pueden ser vulnerables a ataques por análisis de frecuencias si no se emplean IVs. El IV asegura que dos cargas idénticas generan dos cargas cifradas diferentes.</p><p style="font-weight: bold;">IPsec emplea cifradores de bloque para el proceso de cifrado. Por ello, puede ser necesario rellenar la carga del paquete si la longitud de la carga no es un múltiplo de la longitud del paquete. En ese caso se añade la longitud del relleno (pad length). Tras la longitud del relleno se coloca el campo de 2 bytes <i class="EMPHASIS">Siguiente cabecera</i> que especifica la siguiente cabecera. Por último, se añaden los 96 bit de HMAC para asegurar la integridad del paquete. Esta HMAC sólo tiene en cuenta la carga del paquete: la cabecera IP no se incluye dentro de su proceso de cálculo.</p><p style="font-weight: bold;">El uso de NAT, por lo tanto, no rompe el protocolo ESP. Sin enmbargo, en la mayoría de los casos, NAT aún no es compatible en combinación con IPsec. NAT-Transversal ofrece una solución para este problema encapsulando los paquetes ESP dentro de paquetes UDP.</p>CrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com0tag:blogger.com,1999:blog-4845635447704119827.post-42037052785557106392008-05-21T06:50:00.000-07:002008-05-21T07:58:31.922-07:00Modo Tunel y Modo Transporte<h3 style="font-weight: bold;"><span style="" onmouseover="_tipon(this)" onmouseout="_tipoff()"><span class="mw-headline">Modo de túnel</span></span> </h3><p style="font-weight: bold;"> <span onmouseover="_tipon(this)" onmouseout="_tipoff()">En el modo de túnel, todo el paquete IP (además de los datos de las cabeceras de los mensajes) están codificados y / o autenticados.</span> <span style="" onmouseover="_tipon(this)" onmouseout="_tipoff()">Debe ser encapsulada en un nuevo paquete IP para el encaminamiento a trabajar. Túnel se utiliza el modo de red-a-red de comunicaciones (túneles seguros entre routers, por ejemplo, para VPNs) o host-a-red y host-a-host de comunicaciones más la Internet.</span> </p><h3 style="font-weight: bold;"><span onmouseover="_tipon(this)" onmouseout="_tipoff()"><span class="mw-headline">Modo de transporte</span></span> </h3><p style="font-weight: bold;"> <span style="" onmouseover="_tipon(this)" onmouseout="_tipoff()">En modo de transporte, sólo la carga útil (los datos que la transferencia) del paquete IP están codificados y / o autenticados.</span><span onmouseover="_tipon(this)" onmouseout="_tipoff()">El encaminamiento está intacta, ya que la cabecera IP no es ni modificado ni cifrada, sin embargo, cuando lacebecera de autenticacion se utiliza, las direcciones IP no puede ser traducido ya que esto invalida el valor hash</span> <span onmouseover="_tipon(this)" onmouseout="_tipoff()">El tranporte y la capas están siempre garantizados por hash, por lo que no puede ser modificado de ninguna manera (por ejemplo,la traduccion de los números de puerto.)Transportes se utiliza el modo de host-a-host de comunicaciones.</span> </p><p style="font-weight: bold;"><br />Para proteger la integridad de los datagramas IP, los protocolos IPsec emplean códigos de autenticación de mensaje basados en resúmenes (HMAC</p> <p style="font-weight: bold;"> - Hash Message Authentication Codes). Para el cálculo de estos HMAC los protocolos HMAC emplean algoritmos de resumen como MD5 y SHA para calcular un resumen basado en una clave secreta y en los contenidos del datagrama IP. El HMAC se incluye en la cabecera del protocolo IPsec y el receptor del paquete puede comprobar el HMAC si tiene acceso a la clave secreta.</p><p><br /></p><h3><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjuPafDR4j57dYDGSCnNuL_usBJSa9Infvb3U7qUFVbM7LmhBboD5FTXIbq_SYNP8NgY3Z319BMiqssRh0wxiJrRKQaaMshib2fqEOdOstMKw2Y5DzJ65TkldH2HxiRI-dNOx0UNu89HlzN/s1600-h/tunnel_transport.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjuPafDR4j57dYDGSCnNuL_usBJSa9Infvb3U7qUFVbM7LmhBboD5FTXIbq_SYNP8NgY3Z319BMiqssRh0wxiJrRKQaaMshib2fqEOdOstMKw2Y5DzJ65TkldH2HxiRI-dNOx0UNu89HlzN/s320/tunnel_transport.png" alt="" id="BLOGGER_PHOTO_ID_5202831862692061202" border="0" /></a></h3> <p> </p>CrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com0tag:blogger.com,1999:blog-4845635447704119827.post-50752611286711063282008-05-21T06:30:00.000-07:002008-05-21T06:48:50.414-07:00IPSec<p style="font-weight: bold;">IPsec ( Internet Protocol security) es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec también incluye protocolos para el establecimiento de claves de cifrado.Fue desarrollado para el nuevo estándar IPv6 y después fue portado a IPv4</p><br /><span style="font-weight: bold;">IPsec emplea dos protocolos diferentes - AH y ESP - para asegurarla autenticación, integridad y confidencialidad de la comunicación. Puede proteger el datagrama IP completo o sólo los protocolos de capas superiores. Estos modos se denominan, respectivamente, módo túnel y modo transporte. En modo túnel el datagrama IP se encapsula completamente dentro de un nuevo datagrama IP que emplea el protocolo IPsec. En modo transporte IPsec sólo maneja la carga del datagrama IP, insertándose la cabecera IPsec entre la cabecera IP y la cabecera del protocolo de capas suepriores.<br /><br /><br /></span><p style="font-weight: bold;"></p>CrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com0tag:blogger.com,1999:blog-4845635447704119827.post-14654922650385365472008-04-24T05:13:00.000-07:002008-04-24T05:28:16.506-07:00Scrip de Cifrado y Decifrado de archivos Resumido<a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjdGavu18KRndrlqGaUuehXjw8wJjo-Rfj4qR5vmwTfsDitqA-l0-HyPPsJz4g7SsjqQYxAX0x2Mq4JMpgNpLI3rMKEh3WhC_SBmgIitdjwiExLKEjEISU7Yskst_t2TJxakcot7n9olX7o/s1600-h/Pantallazo.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjdGavu18KRndrlqGaUuehXjw8wJjo-Rfj4qR5vmwTfsDitqA-l0-HyPPsJz4g7SsjqQYxAX0x2Mq4JMpgNpLI3rMKEh3WhC_SBmgIitdjwiExLKEjEISU7Yskst_t2TJxakcot7n9olX7o/s320/Pantallazo.png" alt="" id="BLOGGER_PHOTO_ID_5192787575390214178" border="0" /></a><br /><span style="font-weight: bold; font-style: italic;">Este es el un script que iso el profesor que funcion aigual al que nosotros hicimos</span><br /><br /><span style="font-style: italic;"></span><span style="font-style: italic;"><br /></span>CrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com1tag:blogger.com,1999:blog-4845635447704119827.post-24730752264249296262008-04-24T04:57:00.002-07:002008-04-24T05:08:30.988-07:00Scrip de Cifrado y Decifrado de archivos<span style="font-weight: bold;">Este script fue creado para el cifrado y decifrado de archivos en una consola linux y creado sobre el lenguage bash.</span><br /><br /><span style="font-style: italic;">#/bin/bash</span><br /><br /><span style="font-style: italic;">#script usado para cifrar o decifrar</span><br /><br /><span style="font-style: italic;">cifrar=-c</span><br /><span style="font-style: italic;">decifrar=-d</span><br /><br /><span style="font-style: italic;">read -p "ingrese la ruta del archivo: " ruta</span><br /><span style="font-style: italic;">read -p "ingrese una clave: " clave</span><br /><span style="font-style: italic;">read -p "ingrese la opcion de cifrado o decifradio: " opcion</span><br /><br /><span style="font-style: italic;">if [ "$cifrar" = "$opcion" ]</span><br /><span style="font-style: italic;">then</span><br /><span style="font-style: italic;">echo "el archivo se va a cifrar"</span><br /><br /><span style="font-style: italic;">cat $ruta > output.txt</span><br /><br /><span style="font-style: italic;">sed -i s/"a"/"D"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"b"/"E"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"c"/"F"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"d"/"G"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"e"/"H"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"f"/"I"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"g"/"J"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"h"/"K"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"i"/"L"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"j"/"M"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"k"/"N"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"l"/"Ñ"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"m"/"O"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"n"/"P"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"ñ"/"Q"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"o"/"R"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"p"/"S"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"q"/"T"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"r"/"U"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"s"/"V"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"t"/"W"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"u"/"X"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"v"/"Y"/g output.txt<br />sed -i s/"w"/"Z"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"x"/"A"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"y"/"B"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"z"/"C"/g output.txt</span><br /><span style="font-style: italic;">else</span><br /><span style="font-style: italic;">echo ""</span><br /><span style="font-style: italic;">fi</span><br /><br /><span style="font-style: italic;">if [ "$decifrar" = "$opcion" ]</span><br /><span style="font-style: italic;">then</span><br /><span style="font-style: italic;">echo "el archivo se va a decifrar"</span><br /><br /><span style="font-style: italic;">sed -i s/"D"/"a"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"E"/"b"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"F"/"c"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"G"/"d"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"H"/"e"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"I"/"f"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"J"/"g"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"K"/"h"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"L"/"i"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"M"/"j"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"N"/"k"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"Ñ"/"l"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"O"/"m"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"P"/"n"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"Q"/"ñ"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"R"/"o"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"S"/"p"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"T"/"q"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"U"/"r"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"V"/"s"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"W"/"t"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"X"/"u"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"Y"/"v"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"Z"/"w"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"A"/"x"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"B"/"y"/g output.txt</span><br /><span style="font-style: italic;">sed -i s/"C"/"z"/g output.txt</span><br /><br /><span style="font-style: italic;">else</span><br /><span style="font-style: italic;">echo ""</span><br /><span style="font-style: italic;">fi</span>CrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com0tag:blogger.com,1999:blog-4845635447704119827.post-16471460910481058872008-04-24T04:57:00.001-07:002008-04-24T04:57:51.853-07:00Scrip de Cifrado y Decifrado de textoxCrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com0tag:blogger.com,1999:blog-4845635447704119827.post-57692343927569361742008-04-21T06:22:00.000-07:002008-04-21T06:27:48.053-07:00SSL Secure Socket Layer<span style="font-weight: bold;">El protocolo SSL es un sistema diseñado y propuesto por Netscape Communications Corporation. Se encuentra en la pila OSI entre los niveles de TCP/IP y de los protocolos HTTP, FTP, SMTP, etc. Proporciona sus servicios de seguridad cifrando los datos intercambiados entre el servidor y el cliente con un algoritmo de cifrado simétrico, típicamente el RC4 o IDEA, y cifrando la clave de sesión de RC4 o IDEA mediante un algoritmo de cifrado de clave pública, típicamente el RSA. La clave de sesión es la que se utiliza para cifrar los datos que vienen del y van al servidor seguro. Se genera una clave de sesión distinta para cada transacción, lo cual permite que aunque sea reventada por un atacante en una transacción dada, no sirva para descifrar futuras transacciones. MD5 se usa como algoritmo de hash. </span><p style="font-weight: bold;">Proporciona cifrado de datos, autenticación de servidores, integridad de mensajes y, opcionalmente, autenticación de cliente para conexiones TCP/IP.</p> <p style="font-weight: bold;">Cuando el cliente pide al servidor seguro una comunicación segura, el servidor abre un puerto cifrado, gestionado por un software llamado Protocolo SSL Record, situado encima de TCP. Será el software de alto nivel, Protocolo SSL Handshake, quien utilice el Protocolo SSL Record y el puerto abierto para comunicarse de forma segura con el cliente.</p><br /><a style="font-weight: bold;" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjMATX12FIGUcL88aW3iRYKFhUDCtN69ksM_zoJxV-AGf0KY5Q9Hv1GNb8kuyxuXznlAn3tZNKmnno2Bb3zqeTpD4Csv2TLasIOnqi7NgJrRyWEJvbSjGnAkF8zZBLQ0iXI-ef7Mm9bvyIp/s1600-h/ssl_chart.jpg"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjMATX12FIGUcL88aW3iRYKFhUDCtN69ksM_zoJxV-AGf0KY5Q9Hv1GNb8kuyxuXznlAn3tZNKmnno2Bb3zqeTpD4Csv2TLasIOnqi7NgJrRyWEJvbSjGnAkF8zZBLQ0iXI-ef7Mm9bvyIp/s320/ssl_chart.jpg" alt="" id="BLOGGER_PHOTO_ID_5191689457714761314" border="0" /></a><p style="font-weight: bold;"><br /></p><h3 style="font-weight: bold;">El Protocolo SSL Handshake</h3> <p style="font-weight: bold;">Durante el protocolo SSL Handshake, el cliente y el servidor intercambian una serie de mensajes para negociar las mejoras de seguridad. Este protocolo sigue las siguientes seis fases (de manera muy resumida): </p><ul style="font-weight: bold;"><li>La fase Hola, usada para ponerse de acuerdo sobre el conjunto de algoritmos para mantener la intimidad y para la autenticación. </li><li>La fase de intercambio de claves, en la que intercambia información sobre las claves, de modo que al final ambas partes comparten una clave maestra. </li><li>La fase de producción de clave de sesión, que será la usada para cifrar los datos intercambiados. </li><li>La fase de verificación del servidor, presente sólo cuando se usa RSA como algoritmo de intercambio de claves, y sirve para que el cliente autentique al servidor. </li><li>La fase de autenticación del cliente, en la que el servidor solicita al cliente un certificado X.509 (si es necesaria la autenticación de cliente). </li><li>Por último, la fase de fin, que indica que ya se puede comenzar la sesión segura. </li></ul> <h3 style="font-weight: bold;">El Protocolo SSL Record</h3> <p style="font-weight: bold;">El Protocolo SSL Record especifica la forma de encapsular los datos transmitidos y recibidos. La porción de datos del protocolo tiene tres componentes: </p><ul style="font-weight: bold;"><li>MAC-DATA, el código de autenticación del mensaje. </li><li>ACTUAL-DATA, los datos de aplicación a transmitir. </li><li>PADDING-DATA, los datos requeridos para rellenar el mensaje cuando se usa cifrado en bloque. </li></ul>CrIsTi@Nhttp://www.blogger.com/profile/00246619081759086341noreply@blogger.com0