TAREAS DE SEGURID@D

Vulnerabilidades en Equipos

2008-07-01T07:55:00.000-07:00

En esta entrada veremos como detectamos vulnerabilidades en un equipo con el nessus.
El resultado del escaneo nos mostro varias vulnerabilidades pero en esta entrada
solo vamos a mostrar una

este seria el resultado de el analizis de vulnerabilidades que se hizo y esta seria la vulnerabilidad que vamos a analizar

esta seria la traduccion de la vulnerabilidad para que ñla podamos entender

statd el mando a distancia de servicios puede ser vulnerable a un ataque de formato de cadenas

esto significa que un atacante puede ejecutar código arbitrario gracias a un error en este demonio

sólo las versiones antiguas de statd bajo linux se ven afectados por este problema

***Nessus reporta esta vulnerabilidad usando soloinformacion que se reunio
***tenga cuidado al utilizar ensayos sin controles de seguridad habilitado

Solucion:actualizar a la versión más reciente de rcp.statd
Factor de Riego: alto
CVE : CVE-2000-0666,CAN -2000-0800
BID : 1480

y en conclucion la solucion para esta vulnerabilidad seria actualizar el paqute rcp.statd y el problema se solucionara

Configuracion IPSec en Windows

2008-06-27T06:35:00.000-07:00

En esta entrada vamos aver como es la configuracion de ipsec en windows
lo primero es abrir una consola de administracion y lo hacemos de la siguiente forma.Damos clic en "inicio", "ejecutar", copiamos mmc y damos enter esto es para que nos aparezca una consola de administracion.

Después de haber dado enter nos aparecerá la siguiente ventana en esta ventana damos clic en en "archivo" y en "agregar o quitar complemento".

Luego nos saldrá la siguiente pestaña en el cual escogeremos que consola de administracion queremos.le damos click en agregar

En la nueva ventana que nos aparecio escojemos la opcion "ip security policy management" y le damos "add" nos aparecera otra ventana la cual nos pregunta en que equipo vamos agregar el complemento, le damos en "equipo local" y "finish", despues seleccionaremos el otro complemento que sera "ip security monitor" le damos clic en "add" y luego en "close".

Aqui nos muestran las consolas que seleccionamos y luego de estar seguros de que escogimos las correctas damos clic en "aceptar".

Despues de terminar lo anterior nos apareceran las opciones de configuracion de ipsec. Ya con esto empezaremos a configurar politicas de ipsec.
-primero damos clic derecho en "directivas de seguridad" (ip security policy management) y le damos clic en "crear directiva de seguridad ip".

Nos aparecera un asistente de configuracion

Nos saldra una un recuadro donde debemos ingresar el nombre y la descripcion de la nueva directiva luego damos clic en "siguiente".

Luego nos saldra el siguiente cuadro el cual nos esta dice si queremos activar la regla de respuesta predeterminada, esto es para que los equipos remotos cundo soliciten seguridad se le responda y se le solicite seguridad en la comunicacion.

Luego nos aparecera un cuadro en el cual especificaremos la llave precompartida.

-Damos clic en siguiente y nos aparecera que ya hemos terminado la de crear la directiva:-Le damos clic en finalizar.

Al darle clic en finalizar nos aparecerá un cuadro donde podemos agregar reglas para nuestra directiva. para no tener inconvenientes desactivamos la opcion de usar asistente para agregar (use add Wizard) que se encuentra en la parte inferior de la ventana y luego damos clic en agregar.

Nos aparecera este cuadro el cual nos permite hacer un filtrado de ip (IP filter list) y le daremos clic en agregar.

Luego de que le dimos clic en agregar nos aparecerá un recuadro en el cual le colocaremos el nombre ala regla de filtrado y tambien desactivamos el asistente (use add Wizard) luego de colocar el nombre le damos cilc en edit.

En esta ventana especificaremos desde la direccion ip origen y la direccion ip de destino, luego pasamos ala siguiente pestaña.

En esta pestaña especificaremos el protocolo que utlizaremos.Si deseamos podemos ponerle una descripcion a la regla. Para finalizar damos clic en ok a todas las ventanas que nos aparezcan.

Despues escogemos la pestaña Filter action (accion de filtrado) y le damos clic en agregar.

Despues de darle add nos aparecera esta ventana en la cual podemos escoger los metodos de seguridad en este caso escogemos negociar la seguridad (negotiate security) y damos clic en agregar.

Luego de darle en add nos aparecera esta ventana en la cual escogemos la opcion personalizada esto como su nombre lo indica es para personalizar el metodo de seguridad y le damos clic en configuration.

Nos aparecera una ventana en la cual escogemos los algoritmos que vamos a utilizar, los cuales pueden ser SHA1 o MD5 tambien podemos escoger el algoritmo de encriptacion que puede ser 3DES .Luego de escoger los algoritmos le damos clic en ok a todas las ventanas que nos aparezcan.

20. Luego pasamos a la pestaña metodos de autenticacion y le damos clic en agregar.

-Luego de darle cilc en agregar nos aparecera una ventana en la cual escogeremos la ultima opcion y colocaremos la llave precompartida.

Ya para terminar le damos clic derecho sobre la politica y damos clic en asignar.

para que esto pueda funcionar la misma configuracion se deve hacer en el host con el que se va a hacer la comunicacion.

Esta fue una prueba de la politica. Esta politica es para que negocien seguridad cuando se hace un ping y tengan comunicacion segura.

Instalacion y Configuracion de SSH

2008-06-23T05:57:00.000-07:00

SSH es el nombre de un protocolo y del programa que lo implementa. Este protocolo sirve para acceder a máquinas a través de una red, de forma similar a como se hacía con telnet. La diferencia principal es que SSH usa técnicas de cifrado para que ningún atacante pueda descubrir el usuario y contraseña de la conexión ni lo que se escribe durante toda la sesión.

(SSh trabaja por el puerto 22 tcp) y una de las herramientas que utiliza ssh para entrar en otros equipos es la aplicacion libre Putty.

ahora pasamos ala configuracion de SSH en Linux

#apt-get install ssh

ahora pasaremos ala configuracion de ssh en el archivo de configuracion por defecto #pico /etc/ssh/ssh_config

ahora veremos algunas opciones del archivo de configuracion estando dentro del archivo especificaremos en la linea:
port 22
Este seria el puerto por defecto por el que funciona ssh pero si queremos lo podemos cambiar por otro puerto

Luego en la linea permitRootLogin que es para permitir el acceso directo al usuario root se recomienda que este en no porque cualquier usuario que se loguee quedara como root y tendra permiso para modificar cualquier cosa dentro de nuestro equipo

PermitRootLogin no

La linea x11Forwarding nos da la opcion de permitir o denegar la ejecucion remota de una interface grafica.

x11Forwarding yes

Para que nuestro servidor pida una llave al ingresar el ususario debemos descomentar la linea:

AuthorizedKeysFile /root/.ssh/authorized_keys

esa ruta es donde van a ir almacenadas las llaves publicas de los usuarios .

Luego debemos descomentar la linea PasswordAuthentication y cambiar de yes a no esto se hace para que no pida clave sino la llave del usuario

PasswordAuthentication yes

Despues debemos copiar la llave del usuario que va a ingresar al servidor ssh en la ruta que le dimos en la linea AuthorizedKeysFile (la ruta es /root/.ssh/authorized_keys)

cp /root/.ssh/id_dsa.pub /root/.ssh/authorized_keys

id_dsa.pub es la llave publica del usuario.

por ultimo reiniciaremos el servicio

/etc/init.d/ssh restart

Configuracion del cliente SSH

primero instalaremos el cliente ssh

#apt-get install openssh-client

luego crearemos las llaves del usuario con el comando
#ssh -keygen -t dsa

debemos copiar la llave publica al archivo donde se alojan las llaves que es /root/.ssh/authorized_keys

cp /root/.ssh/id_dsa.pub /root/.ssh/authorized_keys

ya podemos provar si la configuracion esta buena accediendo al servidor ssh
ssh 10.3.8.154 (es la ip del servidor ssh)

En esta imagen podemos ver que nos pudimos comunicar al servidor SSH

Analisis del trafico ssh

Acontinuacion veremos como es la conexion ssh cliente servidor

El cliente hace una peticion ssh con un SYN al servidor
El servidor le responde con un SYN,ACK
Vuelve a responder el cliente con un ACK
El servidor responde arrojando datos del protocolo y del equipo.
El cliente hace lo mismo, arroja informacion de su equipo y demas.
Luego el cliente inicia el intercambio de llaves del servidor.
El servidor responde con un ACK, y inicia en intercamo de llaves del servidor.
Luego establecen un algoritmo de encriptacion, crean unas nuevas llaves para crear el tunel ssh y luego inician una comunicacion encriptada.

Para finalizar la conexion ssh el cliente le manda una peticion de FIN, ACK al servidor el servidor le responde con otro FIN, ACK y el cliente le confirma con un ACK.

Este analisis fue tomado del blog de ferney

NESSUS

2008-06-17T10:02:00.000-07:00

Nesus es una herramienta para informes de vulnerabilidades.

Nessus es un programa de escaneo de vulnerabilidades en varios Sistemas Operativos. Y consta de un cliente y un servidor, se pueden instalar en las mismas maquinas por simplicidad. Con nessus se pueden grabar informes donde hay enlaces que explican que tipo de vulnerabilidad encontrada es, como "exportarla" y como "evitarla".

Nessus es un escáner de seguridad remoto para Linux, BSD, Solaris, Windows y Otros Unix. Está basado en plug-in(s), tiene una interfaz basada en GTK, y realiza más de 1200 pruebas de seguridad remotas. Permite generar reportes en HTML, XML, LaTeX, y texto ASCII; también sugiere soluciones para los problemas de seguridad.

Instalacion de Nessus
# apt-get install nessus -->Nessus cliente
# apt-get install nessusd -->Nessus demonio

Para configurar Nessus como demonio indicando un puerto hacemos lo siguiente:
# nessusd p 1241 a 10.3.16.x -->Puerto y direccion IP por la cual se comunicara.

Agregar un usuario:
# nessus-adduser

Link de otra instalacion.

Al ejecutarlo desde Aplicaciones, Internet, Nessus nos aparece una consola como esta:
Nos logueamos. La primera vez que nos logueamos nos muestra esto:
Nos muestra un certificado. Lo aceptamos
Cuando estemos logueados nos mostrara los plugins que tiene nessus.
Unas de las imagenes sobre las caracteristicas de Nessus.

Para escanear un equipo hacemos lo siguiente:
-->Indicamos la direccion IP
-->Iniciamos en escaner
Al iniciar el escaner debemos esperar que se realice todo el escaner y nos arroje los resultados.
Cuando termine mostrara el reporte asi:
Este documento fue desarrollado con la ayuda de Alexandra Amaya

Vulnerabilidad en OpenSHH y OpenSSL

2008-06-13T05:17:00.000-07:00

En esta entrada ablaremos sobre la vulnerabilidad de OpenSSL que fue descubierta por el argentino Luciano Bello

El problema es el siguiente: en un patch de Debian al paquete OpenSSL que fue aplicado por mediados de 2006, se introdujo una seria vulnerabilidad en el manejador pseudo-aleatorio de numeros (PRNG).
Para los que no saben que es eso o que es OpenSSL, un resumen pequeño y
una lectura obligada en Wikipedia.
OpenSSL es una implementación libre de los protocolos SSL y TLS que se usan como herramientas de criptografía, o sea, para ocultar cosas básicamente.

Entonces, lo que hace el PRNG es eso, generar números que intentan tener la mayor entropía (”aleatoriedad”) posible usando distintos parámetros.

Esto hace que, por ejemplo, una conexión segura via SSH sea justamente “segura” por que las claves que se utilizan para establecer el canal de comunicación son *extremadamente* largas y “aleatorias”.

Lamentablemente la parte afectada fue una de las encargadas de generar la mayor parte de la entropía de los números generados por OpenSSL, reduciendo drásticamente los tiempos de ataque por fuerza bruta a cuestión de horas o minutos.por uqe las laaves se pueden descubrir muy facilmente

Antes de intentar hacer cualquier cosa, lo importante es actuar con prudencia.El fallo fue introducido en sept de 2006, así que la sugerencia es que ante la duda, vuelvas a generar todas las llaves que hayan sido creadas vía OpenSSL en un sistema Debian (o derivados de Debian) desde 2006 hasta ahora.
Esto afecta a llaves SSH (llaves RSA y DSA), certificados SSL (x509), y todo lo que haya sido compilado contra libssl.

Lo que la mayor parte de todos tendremos que hacer mínimamente es regenerar las llaves RSA/DSA para el servidor SSH:

# rm /etc/ssh/ssh_host_*
# dpkg-reconfigure openssh-server

lo que queremos decir aquie es que la vulnerabilidad en openssl se podria aprovechar por cualquier persona que tenga acceso a un paquete que hay en internet que contiene todas las llaves que genera el openssl y al descargarlo y comparar las llaves que contiene podemos averiguar cualquier llave ala que tengamos acceso ,por ejemplo si tu tienes una llave publica de cualquier persona al comparar esta llave con las que hay en el dichoso paquete podras encontrar la llave privada y sai acceder a los pc o servidores donde este usuario se autentica con sus respectivas llaves.

esta entrada se realizo con la ayuda de Alexis Cerpa

Solucion de la vulnerabilidad de llaves en OPenSSH y OpenSSL

2008-06-13T04:46:00.000-07:00

Ahora, como saber si tu sistema está afectado?

Si no tienes instalado openssh-server y nunca usaste openssh-client es seguro que no tendrás problema. Pero por las dudas puedes hacer la comprobación con este método. Te recomiendo que lo hagas, porque yo estaba seguro que en mi PC de escritorio jamás había usado OpenSSH y al comprobar por medio del script me dió que el sistema era vulnerable y ahí recordé que una vez sincronicé el iPhone usando OpenSSH. Así que a probar.

Primero abre una Terminal.

Nos descargamos el script de comprobación desde el servidor de Debian:

wget -c http://security.debian.org/project/extra/dowkd/dowkd.pl.gz

Lo descomprimimos:

gunzip dowkd.pl.gz

y le damos permiso de ejecución:

chmod u+x dowkd.pl

Luego lo ejecutamos:

./dowkd.pl user

./dowkd.pl host hostname

Si nos aparece algo similar a esto: /home/username/.ssh/id_dsa.pub:1: weak key significa que nuestra clave ssh se encuentra comprometida. Si no ves las palabras "weak key" no tienes problemas.

Como lo soluciono?

Seguimos desde la Terminal:

sudo apt-get update

sudo apt-get upgrade

Verás que existen actualizaciones para los paquetes openssl y openssh, Acepta las actualizaciones y ahora vamos a regenerar las nuevas claves.

Si el "weak key" apareció al ejecutar el primer script:

ssh-keygen -t dsa -b 1024

Si apareció en el segundo script:

sudo rm /etc/ssh/ssh_host_{dsa,rsa}_key*

sudo dpkg-reconfigure -plow openssh-server

Hecho esto, corremos los scripts nuevamente para ver si se solucionó el problema.

En el caso de no haberse solucionado mira el archivo donde está la clave con error (en mi caso la salida de la terminal era /home/eduardo/.ssh/authorized_hosts:1: weak key) y abre con Gedit el archivo en cuestión (en mi caso /home/eduardo/.ssh/authorized_hosts) y borra la linea afectada (en mi caso 1). Antes un backup del archivo con otro nombre.

Vuelve a ejecutar el script hasta que las dichosas palabritas weak key no aparezcan.

cuando nos deje de salir este mensage ya podemos volver a generar todas nuestras llaves RSA y DSA.

esta entrada se realizo con la ayuda de Alexis Cerpa

Creacion de Certificados para Servidor Web en Windows

2008-06-12T05:03:00.000-07:00

En esta entrada se explicara como sera la creacion de un certificado digital para un servidor web en windows 2003 server
primero ingresamos ala consola de administracion de IIS (internet information server) ,y damos click derecho en la opcion sito web predeterminado y damos click en opciones.veremos las opciones del servidor pero como lo que nos interesa es la creacion del certifiacdo hiremos ala pestaña seguridad de directorios.
aca encontaremos las opciones de la creacion de certificados le damos clicl en la opcion creacion de certificadosya entramos en el asistente para la creacion del nuevo certificado, damos click en siguiente.

en esta opcion nos mostrara varias opciones de certificados pero nosotros escogeremos la opcion crear un certificado nuevo.
por defecto sale la opcion preparar la peticion ahora para enviarla mas tarde ,y damos click en siguiente
en esta opcion le damos el nombre del certificado que vamos a utilizar le podemos dar la longitud del certificado pero dejaremos la que hay por defecto 10024, damos click en siguiente
en esta opcion damos el nombre de nuestra organizacion y de nuestar unidad organizativa ,click en siguienteaca se definira el nombre del servidor dejaremos el que sale por defecto,click en siguiente
en esta opcion le daremos a nuestro certificado las opciones de localizacion eligiendo nuestro pais,estado,ciudad , click en siguiente.
en esta opcion se le da el nombre al certificado que por defecto sera certreq.txt, click en siguiente
aca nos muestra un resumen de toda la informacion que va a contener el certificado que se v a crear.
ya se a creado en certificado y solo falta enviarlo al autoridad certificadora para que lo firme y subirlo al servidor web.

esto se hiso con la colaboracion de Alexis Cerpa y Daniel Ramirez

Creacion de Certificados para Servidor Web en Linux

2008-06-12T04:30:00.000-07:00

Generar Certificados De Cliente:

Esta sera la explicacion de la crecion d un certificado para un servidor web (apache),en linux con openssl;El certificado se crea desde el equipo cliente de la siguiente manera

#$openssl req -x509 -newkey rsa:2048 -keyout cakey.pem -days
365 -out cacert.pem

Con este comando ademas de generar el certificado tambien generamos las llaves publica y privada del servidor, pero al darle la opcion -x509 le vamos a decir que cree un certificado firmado por nosotros mismos no por la entidad certificadora.

#$openssl req -newkey rsa:2048 -keyout cakey.pem -days 365 -out cacert.pem

con este comando creamos el certificados para que los firme la entidad certificadora y luego para enviar el ertificado ala entidad certificadora como estamos en linux lo haremos por medio de ssh:

#$scp cacert.pem root@[DIR IP de la AC]:/tmp

para hacer esto se necesita tener pasword de root, en caso de que no seas el adminisrtador de la entidad certificadora y no tengas contraseña de root por obvias razones puedes pasar tu certificado con otro usuario para esto le dises al administrador de el CA te cree un usuario y lo copias de la siguiente manera
ejemplo

$scp cacert.pem miuser@[aqui la ip de el CA]:/home/miuser

ya solo falta que la CA (entidad certificadora) firme el certificado nos devuelva el certificado ya firmado.

esto se hiso con la colaboracion de Alexis Cerpa y Daniel Ramirez

OpenSSL y Servidor web Seguro

2008-06-11T04:53:00.000-07:00

En esta entrada mostraremos los pasos para la creacion de un entidad certificadora con OpenSSL y la implementacion de un servidor web seguro.

lo primero que haremos es intalar OpenSSL
#apt-get install openssl

luego vamos a crear lo siguientes directorios dentro del directorio de openssl /etc/ssl

#mkdir certificadora/
#mkdir certificadora/certs
#mkdir certificadora/private
#mkdir certificadora/newcerts
#mkdir certificadora/crl

luego dspues de crear los directorios pasamos a editar el archivo de configuracion de OpenSSL

#pico /etc/ssl/openssl.cnf

en el archivo de configuracion vamos a editar las siguientes lineas

dir = /etc/ssl/certificadora

certs = /etc/ssl/certificadora/certs

crl_dir = /etc/ssl/certificadora/crl

database = /etc/ssl/certificadora/index.txt

new_certs_dir = /etc/ssl/certificadora/newcerts

certificate = /etc/ssl/certificadora/pub.crt

serial = /etc/ssl/certificadora/serial

private_key = /etc/ssl/certificadora/private/priv.key

default_days = 365 # dias en que caduca el certificado

en lo anterior le estamos indicando al opensll los directorios don de va a guardar las llaves que se van a crear

ahora crearemos un certificado que identifique a nuestra entidad certificadora

#openssl req -nodes -new -keyout midominio.key -out midominio.csr

y luego lo firmamos

#openssl ca -out midominio.crt -in midominio.csr

ya con esto tenemos lista nuestra entidad certificadora y ya podemos firmar los certificados.

ya despues de que el cliente cree su certificado y lo mande a ala autoridad certificador pasamos a firmarlo.y con el certificado firmado ya se podra crear el servidor web seguro.

este seria el comando con el que se firman los certificados

#openssl ca -out certificado.crt -in cacert.pem(este seria el nombre del certificado)
tomara el certificado cacert.pem lo firmara y lo sacara como certificado.crt

ya despues de haber firmado el certificado pasaremos ala implementacion del servidor web seguro, para hacer esto deves tener tu servidor web montado y funcionando.nosotros lo implementamos en un servidor apache 2.6.

ahora pasamos a modificar un archivo del servidor web apache, agregamos las siguiente lineas al siguiente archivo

#pico /etc/apache2/sites-available/default

NameVirtualHost *:443
ServerAdmin sgarcia@misena.edu.co
DocumentRoot /var/www/
SSLEngine on
SSLCertificateFile /etc/ssl/certfirmado.crt [ruta del certificado firmado]
SSLCertificateKeyFile /etc/ssl/cakey.pem [ruta de la llave privada creada] anteriormente
ServerName mypage.mydomain.com
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all

y luego habilitamos el modulo de apache con ssl

#a2enmod

ya con esto estaria funcionando nuestro servidor apache con ssl y nuestra entidad certificadora deberia estar firmando certificados normalmente

Esto se hiso con la colaboracion de Alexis Cerpa y Daniel Ramirez

Noticia sobre Windows 7

2008-06-09T06:56:00.000-07:00

Bill Gates y Steve Ballmer, los dos máximos jefes
al interior de Microsoft, presentaron este martes
los primeros detalles que se conocen de la
siguiente versión del sistema operativo para
computador más usado del mundo.

Windows 7 es el nombre código del reemplazo
de Windows Vista, sistema que se lanzó al
público en enero del 2006 y que tendrá la
opción de ser operado con los dedos de la
mano en el monitor del PC.

La próxima edición de Windows estará a la
venta a finales del 2009, lo que supone un
adelanto no convencional en la tradición de
Microsoft.

Windows XP duró cinco años en el mercado
(aún se mantiene vigente), antes de la
presentación de Windows Vista.

Durante la presentación de Windows 7, en la
conferencia 'D: All Things Digital', auspiciada
por el diario The Wall Street Jornal en Carlsbad,
California, E.U., los ejecutivos de Microsoft
demostraron la capacidad del nuevo sistema
de reconocer los movimientos de los dedos
en pantalla para la operación de los programas,
muy parecido a como funciona el teléfono
iPhone de Apple.

"Hoy casi toda la interactuación (entre las
personas y el computador) es a través del
teclado y el ratón", dijo Gates. "En los próximos
años, el papel de la voz, la visión, la tinta
será enorme", afirmó el co-fundador de
Microsoft.

Esta es una idea de como seria el
funcionamiento del nuevo sistema
operativo de Microsoft Windows 7

Conexion Gateway a Gateway

2008-06-06T06:09:00.000-07:00

Que es 3COM VPN Firewall

En esta entrada se mostrara como se hiso la conexion entre los distintos dipositivos en nuestro salon , se conectaron 5 dipositivos distintos y se logro una conexion de tunel exitosa entre todos.Esta seria la configuracion para la comunicacion de los dipositivos de modo gateway a gateway donde se escogen los prtocolos que se van a usar en la comunicacion que son IPSec y L2TP define una llave precompartida y la identificacion de l dipositivo que esta ves se hiso con la opcion un nombre para esta unidad y se fenio un nombre "fuji"

Esta seria la configuracion de los tuneles que se van a usar en la comunicaion con los distintos dispositivos se definen los algoritmos de encriptacion la llave publica del dispositivo al que nos queremos conectar y el IDRED de la red privada del mismo y se define la misma llave precomparida que se definio anteriormente

Ya como se puede ver en la imgen anterior se establecieron varios tuneles con diferentes redes y diferentes dispositivos .y hasi ya podemos acceder alos recursos que hay dentro de las diferentes redes a las que nos conectamos y acceder a recursos conpartidos y diferentes servicos que se hallan publicado dentro de cualquier red desde cualquier red.

Coneccion de un usuario remoto con VPN Firewall

2008-06-06T05:51:00.000-07:00

Que es VPN Firewall

En esta entrada se mostrara una conexion de un usuario remoto a la red privada que se creo utilizando el Firewall VPN y un usuario remoto que se conetara a nuestra red.

aqui activaremos el protocolo que se va a utilizar y la llave precompartida, como se va a identificar el firewall que yo puse con una direccion ip y el rango de direcciones ip que se repartira a los usuarios que se conectaran remotamente.

luego se configurar la conexion remota para que el usuario remoto se pueda conectar a nuestra lan se escoge el protocolo que se va a usar el nombre de usuario y se le da la misma contraseña que se definio anteriormente.

por ultimo veremos la conexion establecida por el usuario a nuestra red LAN

OfficeConect VPN Firewall 3C0M

2008-06-06T05:27:00.000-07:00

El VPN Firewall

El 3Com OfficeConnect VPN Firewall protege una red privada al impedir el acceso no autorizado a la red y bloquear los ataques de denegación de servicios (DoS), así como otros tipos de ataques. Diseñado para pequeñas empresas con múltiples ubicaciones y trabajadores remotos, el OfficeConnect VPN Firewall puede iniciar y terminar hasta 50 VPNs simultáneas tanto para comunicaciones 'ubicación a ubicación', como de 'usuario a ubicación'. Permite a hasta 253 usuarios compartir un acceso seguro a Internet mediante una única conexión de banda ancha.

Tiene varias herramientas adicionales que tambien pueden ser de mucha ayuda para la seguridad de nuestra red

El filtro de contenidos

El 3Com OfficeConnect Content Filter mejora el sistema integrado de filtrado en el OfficeConnect VPN Firewall mediante el redireccionamiento de las solicitudes de acceso a Internet a una base de datos con millones de URLs definidas en 40 categorías. Esta base de datos es objeto de un meticuloso mantenimiento, por lo que los administradores pueden ofrecer la más alta calidad de filtrado de contenidos al hacer simplemente clic sobre una categoría de contenidos.

Traffic Shaping

Esta opcion sirve para darle priorida a algun tipo de trafico ya sea http o ftp o cualquier otro tipo de trafico , lo que hace es que le da un privilegio a este trafico y este sera enrutado antes que cualquier otro tipo de trafico.

Firewall

Esta opcion nos permite publicar servicios en la red externa y nos permitie definir el tipo de trafico que se va a dejar salir desde nuestra LAN.

VPN

esta opcion nos permite configurar conexiones remotas ya sea desde un usuario remoto o desde otra LAN utlizando acceso a usuario remoto o la opcion gateway a gateway . Nos deja utilizar vaios algoritmos de encritacion tales como IPSec ,L2TP O PPTP que se utilizarian segun la necesida de uestra red.

Firewall 3C0M con funciones Proxy ,VPN y IPSec

2008-06-03T05:00:00.000-07:00

En esta entrada se mostrara como fue la configuracion de el dispositivo 3com con el cual se hiso una practica en la clase de filtado de paginas , paquetes y demas opciones que veremos a continuacion.

Primero lo que hay que hacer es conectar nustro equipo al dispositivo para que nos asigne una direccion ip y asi podamos acceder a el y podamos configurarlo.

Luego de haver obtenido la direccion ip y saber la direccion ip del servidor DHCP que nos la asigno ingresamos a el por medio de un navegador ,recuerda que debes decirle que no use proxy para la coneccion a esa ip.

Al conectarse al dispositivo esta sera la pantalla de vienvenida donde nos pedira un password para poder ingresar el password por defecto es admin

ahora pasaremos a la configuracion del dispositivo para que funcione segun lo deseado , lo que buscanos es que los clientes tengan acceso a internet a traves del dispositivo , publicar un servicio en un cliente del dispositivo , filtar paginas de chat y paginas porno.

primero vamos a la pestaña network setting para configurar todos los parametros de la red externa (LAN exterior)por la cual va a tener salida el dispositivo

le asignamos al dispositivo una direccion estatica dentro del rango de direcciones de la red externa (LAN externa) y le damos tambien los demas parametros gateway ,mascara, y DNS

luego pasamos ala pestaña que dice LAN setting para configurar los parametros de nuestra LAN aqui

Se configura la direccion ip que va a tener el dispositivo y el rango de direcciones uqe va a repartir el sevidor DHCP

y en la pestaña DHCPclient list veremos a todos los equipos que se allan conectado al dispositivo y allan resivido direcciones ip por medio del DHCP

ahora pasamos ala opcion Advance Networking para configurar la ruta que tomara el dspositivo para sali a intenet

primero se configura el nat que va a hacer el dispositivo a la salida a la red externa que es one-to-one que ya viene por defecto

ahora pasamos ala pestana de Static routes donde configuraremos las rutas estaticas para la comunicacon a la red externa ,se pone la descripcion de la red con la cual nos vamos a comunicar atraves del disposito ,las otras pestañas no las vamos a utlizar .

ahora pasamos a la opcion Firewall para definir agunos parametros de la configuracion
En esta se define una DMZ (zona desmilitarisada) para publicar el servidor web y ftp ,aca lo que hacemos es decirle que todo lo que valla para la direccion 10.3.8.147 que es la ip externa del dispositivo por el puerto 80 lo redireccion a al ip 192.168.0.144 que es donde se publico el servidor.

luego en la pestaña PCprivileges vamos a definir los privilegio que van a tener los clientes que estan conectados al dispositivo que esta ves solo seles dio permisos para que se conecte a sitios http ,https ,ftp y para que se conecten con el proxy

ahora en la pestaña avanzados vamos a permitir el ping desde la red externa habilitando la siguiente opcion

ahora pasamos ala opcion Content filtering para hacer el filtro de las pagimas web habilitamos el content filtering y de damos la opcion allow unclassified or uknown sites (permitir los sitios sin definir o desconocidos)
ahora pasmos ala opcion allow/block list donde definiremos las paginas que vamos a bloquear
y ya el dispositvo deve funcionar como lo emos decedo nos debe dar salida a internet , debe publicar el servidor web interno , y nos debe hacer filtado de paginas web.

las otras opciones no as vamos a explicar puesto que hicimos uso de ellas pero tambien se debn estudiar puesto que si quisieramos hacer otro tipo de comunicacion se necesitaria la implemetacion de estas haci que es mejor estudiarlas y saber para que sirven

IPSec en Linux utilizando Racoon

2008-05-30T09:15:00.000-07:00

En esta entrada se implementara Racoon con ipsec que nos permitira utilizar llaves precompartidas .
primero instalaremos el respectivo paquete de racoon

#apt-get install racoon

y nos vamos a configurarlo #cd /etc/racoon

aca se definira la llave precompartida que se utilizara en la comunicacion

#pico psk.txt

y esta seria la configurcion final del archivo.

# IPv4/v6 addresses
#10.160.94.3 mekmitasdigoat
#172.16.1.133 0x12345678
#194.100.55.1 whatcertificatereally
#3ffe:501:410:ffff:200:86ff:fe05:80fa mekmitasdigoat
#3ffe:501:410:ffff:210:4bff:fea2:8baa mekmitasdigoat
# USER_FQDN
#foo@kame.net mekmitasdigoat
# FQDN
foo.kame.net hoge
# Direcciones IPv4
10.3.16.112 clave precompartida simple
10.3.19.10 "fuji-mauro-orbit";
# USER_FQDN
cristian@misena.edu.co Esta es una clave precompartida para una dirección de correo
# FQDN
www.spenneberg.net Esta es una clave precompartida

haora pasamos a configurar el archivo racoon.conf

#pico racoon.conf

y aca se configuraran los parametros de la comunicacion como los metodos de encriptacion y demas parmetros necesarios para la comunicacion.

este seria la configuracion final del archivo.

#
# NOTE: This file will not be used if you use racoon-tool(8) to manage your
# IPsec connections. racoon-tool will process racoon-tool.conf(5) and
# generate a configuration (/var/lib/racoon/racoon.conf) and use it, instead
# of this file.
#
# Simple racoon.conf
#
#
# Please look in /usr/share/doc/racoon/examples for
# examples that come with the source.
#
# Please read racoon.conf(5) for details, and alsoread setkey(8).
#
#
# Also read the Linux IPSEC Howto up at
# http://www.ipsec-howto.org/t1.html
#

path pre_shared_key "/etc/racoon/psk.txt";
#path certificate "/etc/racoon/certs";

remote 10.3.19.114 {
exchange_mode main;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group modp1024;
}
generate_policy off;
}

sainfo address 10.3.16.81[any] any address 10.3.19.114[any] any {
pfs_group modp768;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}

y por ultimo pasaremos a configurar el archivo de configuracion de ipsec donde solo se tendran el cuentas las bases de datos de las politicas y el modo de comunicacion que se va a usar.

#!/usr/sbin/setkey -f

# NOTE: Do not use this file if you use racoon with racoon-tool
# utility. racoon-tool will setup SAs and SPDs automatically using
# /etc/racoon/racoon-tool.conf configuration.
#

## Flush the SAD and SPD
#
flush;
spdflush;

## Some sample SPDs for use racoon
#
# spdadd 10.10.100.1 10.10.100.2 any -P out ipsec
# esp/transport//require;
#
# spdadd 10.10.100.2 10.10.100.1 any -P in ipsec
# esp/transport//require;
#

# Políticas de seguridad
spdadd 10.3.16.81 10.3.19.114 any -P out ipsec
esp/transport//require;
# ah/transport//require;
spdadd 10.3.19.114 10.3.16.81 any -P in ipsec
esp/transport//require;
# ah/transport//require;

haora para probar que todo esta bien con los comandos #setkey -f ipsec-tools.conf y #/etc/init.d/racoon restart y si no nos sale ningun problema la comunicacion se hara correctamente.

IPSec en Linux con ESP

2008-05-30T06:42:00.000-07:00

En esta entrada se explicara la configuracion de ipsec en modo esp (Encasulation Security Payload -Encapsulacion Segura de la carga de datos) en esta entrada se explicara la configuracion de ipsec con ESP en modo transporte. Este es el archivo de configuracion de ipsec utilizando ESP

Este seria el archivo de configuracion de ipsec

#!/usr/sbin/setkey -f

# NOTE: Do not use this file if you use racoon with racoon-tool
# utility. racoon-tool will setup SAs and SPDs automatically using
# /etc/racoon/racoon-tool.conf configuration.
#

## Flush the SAD and SPD
#
flush;
spdflush;

## Some sample SPDs for use racoon
#
# spdadd 10.10.100.1 10.10.100.2 any -P out ipsec
# esp/transport//require;
#
# spdadd 10.10.100.2 10.10.100.1 any -P in ipsec
# esp/transport//require;
#

# SAs para ESP empleando claves largas de 192 bits (168 + 24 paridad)
add 10.3.16.81 10.3.16.84 esp 0x201 -E 3des-cbc "fuji-orbit-sena2008-1234";
add 10.3.16.84 10.3.16.81 esp 0x301 -E 3des-cbc "fuji-orbit-sena2008-1234";

# Políticas de seguridad
spdadd 10.3.16.81 10.3.16.84 any -P out ipsec
esp/transport//require;
# ah/transport//require;
spdadd 10.3.16.84 10.3.16.81 any -P in ipsec
esp/transport//require;
# ah/transport//require;

Luego con el comando #setkey -f ipsec-tools.conf se cargara la configuracion del ipsec

El mismo archivo se debe configurar el la maquina con la cual se va a comunicar cambiando los parametros de direcciones ip

Y como se muestra en este pantallaso este seria el resultado del intercabio de datos

IPSec en Linux modo AH

2008-05-30T06:25:00.000-07:00

En esta entrada se explicara como es la configuracion basica del protocolo ipsec en linux y explicaremos los direnetes modos en los ke los vamos a hacer.

Primero se debe instalar el paquete ipsec-tools

#apt-get install ipsec-tools

luego se pasa aconfigurar el archivo de configuracion de ipsec

#pico ipsec-tools.conf

IPSec en modo AH (autentication Header -Autenticacion de Cabezera)

este es el archivo de configuracion de ipsec para que funcione con AH en modo transporte

#!/usr/sbin/setkey -f

# NOTE: Do not use this file if you use racoon with racoon-tool
# utility. racoon-tool will setup SAs and SPDs automatically using
# /etc/racoon/racoon-tool.conf configuration.
#

## Flush the SAD and SPD
#
flush;
spdflush;

## Some sample SPDs for use racoon
#
# spdadd 10.10.100.1 10.10.100.2 any -P out ipsec
# esp/transport//require;
#
# spdadd 10.10.100.2 10.10.100.1 any -P in ipsec
# esp/transport//require;
#

# SAs para AH empleando claves largas de 128 bits
add 10.3.16.81 10.3.16.84 ah 0x200 -A hmac-md5 "fuji-orbit-sena2";
add 10.3.16.84 10.3.16.81 ah 0x300 -A hmac-md5 "fuji-orbit-sena2";

# Políticas de seguridad
spdadd 10.3.16.81 10.3.16.84 any -P out ipsec
ah/transport//require;
spdadd 10.3.16.84 10.3.16.81 any -P in ipsec
ah/transport//require;

luego con el comando #setkey -f ipsec-tools.conf se cargara la configuracion del ipsec

el mismo archivo se debe configurar el la maquina con la cual se va a comunicar cambiando los parametros de direcciones ip

este es un pantallaso que se hiso con la comunicacion realizada y que funciono correctamente

Protocolo IKE

2008-05-21T08:03:00.000-07:00

El protocolo IKE resuelve el problema más importante del establecimiento de comunicaciones seguras: la autenticación de los participantes y el intercambio de claves simétricas. Tras ello, crea las asociaciones de seguridad y rellena la SAD. El protocolo IKE suele implementarse a través de servidores de espacio de usuario, y no suele implementarse en el sistema operativo. El protocolo IKE emplea el puerto 500 UDP para su comunicación.

El protocolo IKE funciona en dos fases. La primera fase establece un ISAKMP SA (Internet Security Association Key Management Security Association - Asociación de seguridad del protocolo de gestión de claves de asociaciones de seguridad en Internet). En la segunda fase, el ISAKMP SA se emplea para negociar y establecer las SAs de IPsec.

La autenticación de los participantes en la primera fase suele basarse en claves compartidas con anterioridad (PSK - Pre-shared keys), claves RSA y certificados X.509

La primera fase suele soportar dos modos distintos: modo principal y modo agresivo. Ambos modos autentican al participante en la comunicación y establecen un ISAKMP SA, pero el modo agresivo sólo usa la mitad de mensajes para alcanzar su objetivo. Esto, sin embargo, tiene sus desventajas, ya que el modo agresivo no soporta la protección de identidades y, por lo tanto, es susceptible a un ataque man-in-the-middle (por escucha y repetición de mensajes en un nodo intermedio) si se emplea junto a claves compartidas con anterioridad (PSK). Pero sin embargo este es el único objetivo del modo agresivo, ya que los mecanismos internos del modo principal no permiten el uso de distintas claves compartidas con anterioridad con participantes desconocidos. El modo agresivo no permite la protección de identidades y transmite la identidad del cliente en claro. Por lo tanto, los participantes de la comunicación se conocen antes de que la autenticación se lleve a cabo, y se pueden emplear distintas claves pre-compartidas con distintos comunicantes.

En la segunda fase, el protocolo IKE intercambia propuestas de asociaciones de seguridad y negocia asociaciones de seguridad basándose en la ISAKMP SA. La ISAKMP SA proporciona autenticación para protegerse de ataques man-in-the-middle. Esta segunda fase emplea el modo rápido.

Normalmente, dos participants de la comunicación sólo negocian una ISAKMP SA, que se emplea para negociar varias (al menos dos) IPsec SAs unidireccionales.

Protocolos de IPSec

2008-05-21T07:59:00.000-07:00

AH - Cabecera de autenticación

El protocolo AH protege la integridad del datagrama IP. Para conseguirlo, el protocolo AH calcula una HMAC basada en la clave secreta, el contenido del paquete y las partes inmutables de la cabecera IP (como son las direcciones IP). Tras esto, añade la cabecera AH al paquete.

La cabecera AH proteje la integridad del paquete

La cabecera AH mide 24 bytes. El primer byte es el campo Siguiente cabecera. Este campo especifica el protocolo de la siguiente cabecera. En modo túnel se encapsula un datagrama IP completo, por lo que el valor de este campo es 4. Al encapsular un datagrama TCP en modo transporte, el valor correspondiente es 6. El siguiente byte especifica la longitud del contenido del paquete. Este campo está seguido de dos bytes reservados. Los siguientes 4 bytes especifican en Índice de Parámetro de Seguridad (SPI). El SPI especifica la asociación de seguridad (SA) a emplear para el desencapsulado del paquete. El Número de Secuencia de 32 bit protege frente a ataques por repeticón. Finalmente, los últimos 96 bit almacenan el código de resumen para la autenticación de mensaje (HMAC). Este HMAC protege la integridad de los paquetes ya que sólo los miembros de la comunicación que conozcan la clave secreta pueden crear y comprobar HMACs.

Como el protocolo AH protege la cabecera IP incluyendo las aprtes inmutables de la cabecera IP como las direcciones IP, el protocolo AH no permite NAT. NAT (Network address translation - Traducción de direcciones de red, también conocido como Enmascaramiento de direcciones) reemplaza una dirección IP de la cabecera IP (normalmente la IP de origen) por una dirección IP diferente. Tras el intercambio, la HMAC ya no es válida. La extensión a IPsec NAT-transversal implementa métodos que evitan esta restricción.

ESP - Carga de Seguridad Encapsulada

El protocolo ESP puede asegurar la integridad del paquete empleando una HMAC y la confidencialidad empleando cifrado. La cabecera ESP se genera y añade al paquete tras cifrarlo y calcular su HMAC.

La cabecera ESP

Los primeros 32 bits de la cabecera ESP especifican el Índice de Parámetros de Seguridad (SPI). Este SPI especifica qué SA emplear para desencapsular el paquete ESP. Los siguientes 32 bits almacenan el Número de Secuencia. Este número de secuencia se emplea para protegerse de ataques por repetición de mensajes. Los siguientes 32 bits especifican el Vector de Inicialización (IV - Initialization Vector) que se emplea para el proceso de cifrado. Los algoritmos de cifrado simétrico pueden ser vulnerables a ataques por análisis de frecuencias si no se emplean IVs. El IV asegura que dos cargas idénticas generan dos cargas cifradas diferentes.

IPsec emplea cifradores de bloque para el proceso de cifrado. Por ello, puede ser necesario rellenar la carga del paquete si la longitud de la carga no es un múltiplo de la longitud del paquete. En ese caso se añade la longitud del relleno (pad length). Tras la longitud del relleno se coloca el campo de 2 bytes Siguiente cabecera que especifica la siguiente cabecera. Por último, se añaden los 96 bit de HMAC para asegurar la integridad del paquete. Esta HMAC sólo tiene en cuenta la carga del paquete: la cabecera IP no se incluye dentro de su proceso de cálculo.

El uso de NAT, por lo tanto, no rompe el protocolo ESP. Sin enmbargo, en la mayoría de los casos, NAT aún no es compatible en combinación con IPsec. NAT-Transversal ofrece una solución para este problema encapsulando los paquetes ESP dentro de paquetes UDP.

Modo Tunel y Modo Transporte

2008-05-21T06:50:00.000-07:00

Modo de túnel

En el modo de túnel, todo el paquete IP (además de los datos de las cabeceras de los mensajes) están codificados y / o autenticados. Debe ser encapsulada en un nuevo paquete IP para el encaminamiento a trabajar. Túnel se utiliza el modo de red-a-red de comunicaciones (túneles seguros entre routers, por ejemplo, para VPNs) o host-a-red y host-a-host de comunicaciones más la Internet.

Modo de transporte

En modo de transporte, sólo la carga útil (los datos que la transferencia) del paquete IP están codificados y / o autenticados.El encaminamiento está intacta, ya que la cabecera IP no es ni modificado ni cifrada, sin embargo, cuando lacebecera de autenticacion se utiliza, las direcciones IP no puede ser traducido ya que esto invalida el valor hash El tranporte y la capas están siempre garantizados por hash, por lo que no puede ser modificado de ninguna manera (por ejemplo,la traduccion de los números de puerto.)Transportes se utiliza el modo de host-a-host de comunicaciones.

Para proteger la integridad de los datagramas IP, los protocolos IPsec emplean códigos de autenticación de mensaje basados en resúmenes (HMAC

- Hash Message Authentication Codes). Para el cálculo de estos HMAC los protocolos HMAC emplean algoritmos de resumen como MD5 y SHA para calcular un resumen basado en una clave secreta y en los contenidos del datagrama IP. El HMAC se incluye en la cabecera del protocolo IPsec y el receptor del paquete puede comprobar el HMAC si tiene acceso a la clave secreta.

IPSec

2008-05-21T06:30:00.000-07:00

IPsec ( Internet Protocol security) es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec también incluye protocolos para el establecimiento de claves de cifrado.Fue desarrollado para el nuevo estándar IPv6 y después fue portado a IPv4

IPsec emplea dos protocolos diferentes - AH y ESP - para asegurarla autenticación, integridad y confidencialidad de la comunicación. Puede proteger el datagrama IP completo o sólo los protocolos de capas superiores. Estos modos se denominan, respectivamente, módo túnel y modo transporte. En modo túnel el datagrama IP se encapsula completamente dentro de un nuevo datagrama IP que emplea el protocolo IPsec. En modo transporte IPsec sólo maneja la carga del datagrama IP, insertándose la cabecera IPsec entre la cabecera IP y la cabecera del protocolo de capas suepriores.

Scrip de Cifrado y Decifrado de archivos Resumido

2008-04-24T05:13:00.000-07:00

Este es el un script que iso el profesor que funcion aigual al que nosotros hicimos

Scrip de Cifrado y Decifrado de archivos

2008-04-24T04:57:00.002-07:00

Este script fue creado para el cifrado y decifrado de archivos en una consola linux y creado sobre el lenguage bash.

#/bin/bash

#script usado para cifrar o decifrar

cifrar=-c
decifrar=-d

read -p "ingrese la ruta del archivo: " ruta
read -p "ingrese una clave: " clave
read -p "ingrese la opcion de cifrado o decifradio: " opcion

if [ "$cifrar" = "$opcion" ]
then
echo "el archivo se va a cifrar"

cat $ruta > output.txt

sed -i s/"a"/"D"/g output.txt
sed -i s/"b"/"E"/g output.txt
sed -i s/"c"/"F"/g output.txt
sed -i s/"d"/"G"/g output.txt
sed -i s/"e"/"H"/g output.txt
sed -i s/"f"/"I"/g output.txt
sed -i s/"g"/"J"/g output.txt
sed -i s/"h"/"K"/g output.txt
sed -i s/"i"/"L"/g output.txt
sed -i s/"j"/"M"/g output.txt
sed -i s/"k"/"N"/g output.txt
sed -i s/"l"/"Ñ"/g output.txt
sed -i s/"m"/"O"/g output.txt
sed -i s/"n"/"P"/g output.txt
sed -i s/"ñ"/"Q"/g output.txt
sed -i s/"o"/"R"/g output.txt
sed -i s/"p"/"S"/g output.txt
sed -i s/"q"/"T"/g output.txt
sed -i s/"r"/"U"/g output.txt
sed -i s/"s"/"V"/g output.txt
sed -i s/"t"/"W"/g output.txt
sed -i s/"u"/"X"/g output.txt
sed -i s/"v"/"Y"/g output.txt
sed -i s/"w"/"Z"/g output.txt
sed -i s/"x"/"A"/g output.txt
sed -i s/"y"/"B"/g output.txt
sed -i s/"z"/"C"/g output.txt
else
echo ""
fi

if [ "$decifrar" = "$opcion" ]
then
echo "el archivo se va a decifrar"

sed -i s/"D"/"a"/g output.txt
sed -i s/"E"/"b"/g output.txt
sed -i s/"F"/"c"/g output.txt
sed -i s/"G"/"d"/g output.txt
sed -i s/"H"/"e"/g output.txt
sed -i s/"I"/"f"/g output.txt
sed -i s/"J"/"g"/g output.txt
sed -i s/"K"/"h"/g output.txt
sed -i s/"L"/"i"/g output.txt
sed -i s/"M"/"j"/g output.txt
sed -i s/"N"/"k"/g output.txt
sed -i s/"Ñ"/"l"/g output.txt
sed -i s/"O"/"m"/g output.txt
sed -i s/"P"/"n"/g output.txt
sed -i s/"Q"/"ñ"/g output.txt
sed -i s/"R"/"o"/g output.txt
sed -i s/"S"/"p"/g output.txt
sed -i s/"T"/"q"/g output.txt
sed -i s/"U"/"r"/g output.txt
sed -i s/"V"/"s"/g output.txt
sed -i s/"W"/"t"/g output.txt
sed -i s/"X"/"u"/g output.txt
sed -i s/"Y"/"v"/g output.txt
sed -i s/"Z"/"w"/g output.txt
sed -i s/"A"/"x"/g output.txt
sed -i s/"B"/"y"/g output.txt
sed -i s/"C"/"z"/g output.txt

else
echo ""
fi

Scrip de Cifrado y Decifrado de textox

2008-04-24T04:57:00.001-07:00

SSL Secure Socket Layer

2008-04-21T06:22:00.000-07:00

El protocolo SSL es un sistema diseñado y propuesto por Netscape Communications Corporation. Se encuentra en la pila OSI entre los niveles de TCP/IP y de los protocolos HTTP, FTP, SMTP, etc. Proporciona sus servicios de seguridad cifrando los datos intercambiados entre el servidor y el cliente con un algoritmo de cifrado simétrico, típicamente el RC4 o IDEA, y cifrando la clave de sesión de RC4 o IDEA mediante un algoritmo de cifrado de clave pública, típicamente el RSA. La clave de sesión es la que se utiliza para cifrar los datos que vienen del y van al servidor seguro. Se genera una clave de sesión distinta para cada transacción, lo cual permite que aunque sea reventada por un atacante en una transacción dada, no sirva para descifrar futuras transacciones. MD5 se usa como algoritmo de hash.

Proporciona cifrado de datos, autenticación de servidores, integridad de mensajes y, opcionalmente, autenticación de cliente para conexiones TCP/IP.

Cuando el cliente pide al servidor seguro una comunicación segura, el servidor abre un puerto cifrado, gestionado por un software llamado Protocolo SSL Record, situado encima de TCP. Será el software de alto nivel, Protocolo SSL Handshake, quien utilice el Protocolo SSL Record y el puerto abierto para comunicarse de forma segura con el cliente.

El Protocolo SSL Handshake

Durante el protocolo SSL Handshake, el cliente y el servidor intercambian una serie de mensajes para negociar las mejoras de seguridad. Este protocolo sigue las siguientes seis fases (de manera muy resumida):

La fase Hola, usada para ponerse de acuerdo sobre el conjunto de algoritmos para mantener la intimidad y para la autenticación.
La fase de intercambio de claves, en la que intercambia información sobre las claves, de modo que al final ambas partes comparten una clave maestra.
La fase de producción de clave de sesión, que será la usada para cifrar los datos intercambiados.
La fase de verificación del servidor, presente sólo cuando se usa RSA como algoritmo de intercambio de claves, y sirve para que el cliente autentique al servidor.
La fase de autenticación del cliente, en la que el servidor solicita al cliente un certificado X.509 (si es necesaria la autenticación de cliente).
Por último, la fase de fin, que indica que ya se puede comenzar la sesión segura.

El Protocolo SSL Record

El Protocolo SSL Record especifica la forma de encapsular los datos transmitidos y recibidos. La porción de datos del protocolo tiene tres componentes:

MAC-DATA, el código de autenticación del mensaje.
ACTUAL-DATA, los datos de aplicación a transmitir.
PADDING-DATA, los datos requeridos para rellenar el mensaje cuando se usa cifrado en bloque.

Firma y Certificado Digital

2008-04-21T06:03:00.000-07:00

La firma digital de un documento es el resultado de aplicar cierto algoritmo matemático, denominado funcion hash, a su contenido, y seguidamente aplicar el algoritmo de firma (en el que se emplea una clave privada) al resultado de la operación anterior, generando la firma electrónica o digital.un método criptografico que asocia la identidad de una persona o de un equipo informático al mensaje o documento

Certificado Digital

Un certificado igital es un documento digital mediante el cual un tercero confiable (una autoridad de certificacion ) garantiza la vinculación entre la identidad de un sujeto o entidad y sullave publica.

GPG en Windows-Server

2008-04-21T04:58:00.000-07:00

Antes de comensar mostraremos unas opciones de comando basicas gpg -e (ruta) cifra datos
gpg -c (ruta) hace un cifrado simetrico ; gpg -d (ruta) decifraa archivos

Lo primero es descargar el softwarewue en mi caso es el gnupg-w32cli-1.4.2.exe desde aqui
luego de descargarlo pasamos a la instalacion ;despues vamos al aconsola y nos paramos en la carpeta donde se instalo el programa

Luego pasamos a generar nuestro primer par de llaves cone l comando gpg --gen-key nos mostrara unas opciones que debemos aceptar y listo se nos crean las llaves,ahora vamos a ver unas opciones relacionadas con el funcionamiento del gpg

el anterior fue el cmando gpg --list-key que sirve para listar las llaves publicas que tenemos nosotros; y para listar las llaves publica se usa el comando gpg -K.

otros comandos son el gpg --export -o pub.****.gpg -a que hace que exporte el archivo pub.***.gpg y la opcion -o lo usa como fichero de salida y la opcion -a es para que lo saque en codigo ascii .

Tambien esta el comando gpg--import (ruta del archivo) que sirve para importar archivos ya sea para decifrarlos o para almacenar la llave publica del emisor.

Haora veremos las opciones de firma digital con el comando gpg -s se crea una firma digital ;
cone l comando gpg --clearsign (ruta documento) se firman documentos eset es un ejemplo de un documento fiemado que por defecto lo crea en codigo ascii

Para verificar que un archvo si fue enviado por quien dice ser le damos con el comando gpg --verify (ruta) , para hacer esto debemos tener registrados la llave publica de quien envio el mensage para poder verificar que si es de el.

el comando gpg --sign-key (ID de la llave) sirve para firmar las llaves de la gente para generar confianza .

esos son los pasos basicos para la configuracion de gpg y nuestras llaves luego debes subir tu llave publica a un servidor para que todos tengan acceso a ella y asi puedan tener una comunicacion segura contigo nosotros lo subimos a este http://wwwkeys.pgp.net/
desde ese mis mo servidor puedes bajar las llaves publicas de tus compañeros y firmarlas
luego de descargar el codigo de al clave damos el comando gpg -a -o ***.txt --export 5jhc8ke4 el archivo .txt que se crea se sube al servidor y se publica.

haora veremos como enciptar con la llave publicadel receptor gpg -r 976gt49l -c ***.txt la opcion -r significa recptor y luego el id de su llave publica y -c es cifrar

VPN

2008-04-08T06:18:00.000-07:00

Virtual Private Network (VPN), es una tecnología dered que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo internet

Ejemplos comunes son, la posibilidad de conectar dos o más sucursales de una empresa utilizando como vínculo Internet, permitir a los miembros del equipo de soporte técnico la conexión desde su casa al centro de cómputo, o que un usuario pueda acceder a su equipo doméstico desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando la infraestructura de Internet.

para que la informacion viage por la internet y se asegure que la informacion va a llegar igual como se mando se debe implementar la encriptacion de esta

Existen dos tipos de técnicas de encriptación que se usan en las VPN: Encriptación de clave secreta, o privada, y Encriptación de clave pública.

En la encriptación con clave secreta se utiliza una contraseña secreta conocida por todos los participantes que van a hacer uso de la información encriptada. La contraseña se utiliza tanto para encriptar como para desencriptar la información. Este tipo de sistema tiene el problema que, al ser compartida por todos los participantes y debe mantenerse secreta, al ser revelada, tiene que ser cambiada y distribuida a los participantes, lo que puede crear problemas de seguridad.

La encriptación de clave pública implica la utilización de dos claves, una pública y una secreta. La primera es enviada a los demás participantes. Al encriptar, se usa la clave privada propia y la clave pública del otro participante de la conversación. Al recibir la información, ésta es desencriptada usando su propia clave privada y la pública del generador de la información. La gran desventaja de este tipo de encriptación es que resulta ser más lenta que la de clave secreta.

En las redes virtuales, la encriptación debe ser realizada en tiempo real, de esta manera, los flujos de información encriptada a través de una red lo son utilizando encriptación de clave secreta con claves que son válidas únicamente para la sesión usada en ese momento.

Tambien para garantizar la seguridad de la informacion se implementan la autenticaciónpara asegurar que no cualquiera puede tener acceso a la informacion

Scripts

2008-04-08T05:13:00.000-07:00

Un conjunto de comandos escritos en un lenguaje interpretado para automatizar ciertas tareas de aplicación que pueden ser de mucha ayuda para el administrador por que puede automatizar tareas y ahorrarle trabajo

algunos ejemplos de scripts

#!bin/bash

#programa para sumar,restar,multiplicar,dividir

if [ $# -eq 3 ] #esto significa que el numero de variables debe ser igual a tres
then
echo "la operacion se esta realizando"#si estas los tres parametros sale este mensage
else
echo " necesita dos parametros"#si no se cumple sale este mensage
exit -1
fi

if [ 0 - eq $1 ]#la varible 1 no debe ser igual a cero
then
echo "no se puede hacer la operacion por cero"#si es haci sale este mensage
exit -1
fi

if [ 0 -eq $3 ]#la variable 3 no debe ser igual a cero
then
echo "no se puede hacer la operacion por cero"#si es haci sale este mensage
exit -1
fi

if [ #2 = "+" ]#si la varible 2 es igual a + se hace la operacion
then
let suma=$1+$2#se suma la variable 1 y 2
echo "el resultado de la suma es : $suma"#el resultado es la variable suma
fi

if [ $2 = "-" ]#si la varible 2 es igual a - se hace la operacion
then
let resta=$1-$3
echo "el resultado de la resta es $resta"#el resultado es la variable resta
fi

f [ $2 = "x" ]#si la varible 2 es igual a x se hace la operacion
then
let multi=$1*$3
echo "el resultado de la resta es $multi"#el resultado es la variable multi
fi

f [ $2 = "/" ]#si la varible 2 es igual a / se hace la operacion
then
let divi=$1/$3
echo "el resultado de la resta es $divi"#el resultado es la variable divi
fi

fwbuilder

2008-04-08T04:57:00.000-07:00

Firewall builder es un GUI de configuracion y mantenimiento de herramientas que soporta iptables (netfilter),ipfilter,pf,ipfw,Cisco PIX (FWSM ASA) y Cisco router extendido listas de acceso.
Firewall Builder usa objetos arientados , esta ayuda administra y mantiene una base de datos de objetos de redes y permite editar politicas usando operaciones simples drap-y-drop

http://www.fwbuilder.org/

mozilla vs iceweasel

2008-04-08T04:37:00.000-07:00

IceWeasel

IceWeasel Es el nombre de dos proyectos independientes derivados de Mozilla firefox. Uno es parte de gnuzilla, un proyecto GNU para suministrar versiones de programas de Mozilla constituidos, en su totalidad, de software libre. El otro es una compilación renombrada, preparada por Debian, para resolver la demanda hecha por Mozilla que les obligaba a dejar de utilizar el nombre o acogerse a sus términos, los cuales son inaceptables dentro de las políticas de Debian

Concretamente, IceWeasel es el nombre elegido para sustituir a Firefox, una clara mofa hacia el nombre original (porque Hielo no es Fuego y Comadreja no es Zorro).

Mozilla firefox

es un navegador de internet, con interfaz grafica de usuario desarrollado por la corporacion mozilla y un gran número de voluntarios externos.Firefox, oficialmente abreviado como Fx o fx, y comúnmente como FF, comenzó como un derivado del Mozilla Aplication Suite que terminó por reemplazarlo como el producto bandera del proyecto Mozilla, bajo la dirección de la Fundacion de mozilla

El programa es multiplataforma y está disponible en versiones para Microsoft Windws, Mac os y X GNU/LINUX. El código ha sido portado por terceros a como microsoft y open bsd

El codigo fuente de Firefox está disponible libremente bajo la triple licencia de Mozilla como un programa libre y de código abierto.

ISA SERVER

2008-04-02T07:51:00.000-07:00

Continuando con el tema de proxy y f¡rewall ahora abordamos isa server que es el un completo programa que contiene las funcionalidades de proxy , firewall y iptables esto lo hace una suit de microsoft muy segura y efectiva que sirve para filtrar paquetes y contenidos desde la red que es muy efectiva y confiable.

ISA SERVER (Internet Security and Acceleration Server) es el gateway integrado de seguridad perimetral que permite proteger su entorno frente a las amenazas de Internet, además de proporcionar a los usuarios un acceso remoto seguro a las aplicaciones y datos corporativos.

esa es una de las definiciones que le dan en la web aqui

SQUID

2008-04-02T07:45:00.001-07:00

Ejercicio

Politicas de seguridad

Restringir el uso de Internet

1. craer listas negras (archivos) para bloquear los siguientes contenidos
porno - chat - correos - deportes - descargas - juegos .
para cad actegoria se debe crear una lista negra, cada rachivo tendar al menos dos registros

2. bloquear a todos los usuarios en la red la navegacion a los istios de las listas negras listas negras

3. bloquera a todos los usuarios las descargas y eporduccion de los siguientes archivos .exe .mp3 .mpg .wav .iso .zip .rar

4. la navegacion debe restringirse a horarios locales de lunes a viernes de 8:00am a 12:00 m y de 1:00 pm 4:30pm

5. existe un usuario sin ninguna restrincion 10.3.6.208

6. los usuarios de la red pueden acceder a paginas de correo gratuito y chat solamente en las horas del almuerzo 12:00 1:00

7. configurar su proxy para que trabaje como transparente

Solucion

Este es el archivo de configuracion final de este ejercicio:

http_port 10.3.6.216:3128 transparent
icp_port 0
cache_mem 32 MB
cache_dir ufs /var/spool/squid 800 16 256
cache_peer proxylan.sena.edu.co parent 8080 0 default
acl usuario src 10.3.6.248
acl manana time MTWHF 8:00-12:00
acl almuerzo time MTWHF 12:00-13:00
acl tarde time MTWHF 13:00-16:30
acl chat dstdomain "/etc/squid/acl/chat_correo.acl"
acl paginasporno dstdomain "/etc/squid/acl/paginasporno.acl"
acl porno url_regex "/etc/squid/acl/porno.acl"
acl formatos urlpath_regex "/etc/squid/acl/formatos.acl"
acl deportes url_regex "/etc/squid/acl/deportes.acl"
acl descargas url_regex "/etc/squid/acl/descargas.acl"
acl juegos url_regex "/etc/squid/acl/juegos.acl"
acl all src 0.0.0.0/0.0.0.0
acl mired src 10.3.6.128/255.255.255.128

visible_hostname localhost
http_access deny paginasporno
http_access deny porno
http_access deny descargas
http_access deny formatos
http_access deny juegos
http_access deny deportes
http_access allow mired almuerzo chat
http_access deny chat
http_access allow usuario
http_access allow manana
http_access allow tarde
http_access allow mired
http_access deny all

y se hace la siguiente cadena en iptables para que redireccione lo que va al puerto 80 y lo redireccione al puerto 3128, para el proxy transparente

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
REDIRECT --to-port 3128

icp_port, en este parametro debemos especificar el puerto que va a utilizar el protocolo ICP (Internet Cache Protocol) que es el protocolo por el cual se comunican los proxies hermanos poara intercambiar sus caches.

cache_dir es el parametro que especifica el tama;o de la cache en el disco duro.

cache_peer se utiliza para decirle al proxy que hay otro servidor proxy en la misma red.

Las acl's especifican las redes, maquinas en particular, acciones o caracteristicas.

http_access, estas son las reglas de control de acceso que permiten o deniegan el acceso a Squid de el trafico especificado en las listas de control de acceso. (A cada acl se le debe asignar una regla de control de acceso).

Mime Types

2008-03-07T05:18:00.000-08:00

Es la especificacion que hacen para saber que que tipo de informacion se esta solicitando en el sitio web que se esta utilizando

Por ejemplo lo que esta en negrilla sera el mimetype de esta conexion que seria en texto por html

HTTP/1.0 200 OK
Date: Thu, 24 Jul 2003 21:20:18 GMT
Server: Apache/1.3.26 (Unix) Debian GNU/Linux mod_gzip/1.3.19.1a PHP/4.2.3 v2h/1.5.1
X-Powered-By: PHP/4.2.3
Set-Cookie: lang=spanish; expires=Fri, 23-Jul-04 21:20:18 GMT
Content-Type: text/html
Age: 1

Cadenas iptables

2008-03-07T04:24:00.001-08:00

iptables es el nombre de la herramienta de espacio de usuario mediante la cual el administrador puede definir políticas de filtrado del tráfico que circula por la red.
iptables es un software disponible en prácticamente todas las distribuciones de linux actuales.
iptables permite al adminitsrador de sistema definir reglas acerca de qué hacer con los paquetes de red. Las reglas se agrupan en cadenas: cada cadena es una lista ordenada de reglas. Las cadenas se agrupan en tablas: cada tabla está asociada con un tipo diferente de procesamiento de paquetes

Tablas
Hay tres tablas ya incorporadas, cada una de las cuales contiene ciertas cadenas predefinidas. Es posible crear nuevas tablas mediante módulos de extensión. El administrador puede crear y eliminar cadenas definidas por usuarios dentro de cualquier tabla.

filter table (Tabla de filtros)
Esta tabla es la responsable del filtrado (es decir, de bloquear o permitir que un paquete continúe su camino). Todos los paquetes pasan a través de la tabla de filtros. Contiene las siguientes cadenas predefinidas y cualquier paquete pasará por una de ellas:

INPUT chain (Cadena de ENTRADA)
Todos los paquetes destinados a este sistema atraviesan esta cadena (y por esto se la llama algunas veces LOCAL_INPUT o ENTRADA_LOCAL)

OUTPUT chain (Cadena de SALIDA)
Todos los paquetes creados por este sistema atraviesan esta cadena (a la que también se la conoce como LOCAL_OUTPUT o SALIDA_LOCAL)

FORWARD chain (Cadena de REDIRECCIÓN)
Todos los paquetes que meramente pasan por este sistema (para ser ruteados) recorren esta cadena
nat table (Tabla de traducción de direcciones de red)
Esta tabla es la responsable de configurar las reglas de reescritura de direcciones o de puertos de los paquetes. El primer paquete en cualquier conexión pasa a través de esta tabla; los veredictos determinan como van a reescribirse todos los paquetes de esa conexión. Contiene las siguientes cadenas redefinidas:

PREROUTING chain (Cadena de PRERUTEO)
Los paquetes entrantes pasan a través de esta cadena antes de que se consulte la tabla de ruteo local, principalmente para DNAT (destination-NAT o traduccion de direcciones de destino)

POSTROUTING chain (Cadena de POSRUTEO)
Los paquetes salientes pasan por esta cadena después de haberse tomado la decisión del ruteo, principalmente para SNAT (source-NAT o traducciones de direcciones de redde origen)

OUTPUT chain (Cadena de SALIDA)
Permite hacer un DNAT limitado en paquetes generados localmente
mangle table (Tabla de destrozo)
Esta tabla es la responsable de ajustar las opciones de los paquetes, como por ejemplo la calidad de servicio. Todos los paquetes pasan por esta tabla. Debido a que está diseñada para efectos avanzados, contiene todas las cadenas predefinidas posibles:

PREROUTING chain (Cadena de PRERUTEO)
Todos los paquetes que logran entrar a este sistema, antes de que el ruteo decida si el paquete debe ser reenviado (cadena de REENVÍO) o si tiene destino local (cadena de ENTRADA)

INPUT chain (Cadena de ENTRADA)
Todos los paquetes destinados para este sistema pasan a través de esta cadena

FORWARD chain (Cadena de REDIRECCIÓN)
Todos los paquetes que exactamente pasan por este sistema pasan a través de esta cadena

OUTPUT chain (Cadena de SALIDA)
Todos los paquetes creados en este sistema pasan a través de esta cadena

tomado de: http://es.wikipedia.org/wiki/Iptables

Analizis de Riesgo

2008-03-05T08:43:00.000-08:00

El término análisis de riesgos hace referencia al proceso necesario para responder a tres cuestiones básicas sobre nuestra seguridad:

¿Qué queremos proteger?
¿Contra quién o qué lo queremos proteger?
¿Como lo queremos proteger?

analisis cualitativo:

Este es, con mucho, la metodología más utilizada para el análisis de riesgos. En este caso, la probabilidad no es necesaria y tan solo es utilizado como factor de cálculo la pérdida potencial estimada.

El método de análisis de riesgos mas comunmente utilizado es el caulitativo trata una estimación de pérdidas potenciales. Para ello se interrelacionan cuatro elementos principales:

Las amenazas (siempre presentes en cualquier sistema).

Las vulnerabilidades (que potencian el efecto de las amenazas).

El impacto asociado a una amenaza (que indica los daños sobre un activo por la materialización de dicha amenaza).

Los controles; contramedidas para minimizar las vulnerabilidades (controles preventivos) o el impacto (controles curativos).

analisis cuantitativo:
Este enfoque emplea dos elementos fundamentales, la probabilidad de que se produzca un hecho y la probable pérdida en caso de que ocurra el hecho citado.

Seguridad Perimetral

2008-03-05T08:10:00.000-08:00

Seguridad Perimetral

Control de acceso a los recursos informáticos de la organización, previniendo ingresos no autorizados.que se hacen medinate dispocitivos que controlan el control de acceso como firewall y otros.

FIREWALL

Un cortafuegos (o firewall en inglés), es un elemento de hardware o software utilizado en una red de computadoras para controlar las comunicaciones, permitiéndolas o prohibiéndolas según las políticas de red que haya definido la organización responsable de la red. Su modo de funcionar es indicado por la recomendación RFC 2979, que define las características de comportamiento y requerimientos de interoperabilidad. La ubicación habitual de un cortafuegos es el punto de conexión de la red interna de la organización con la red exterior, que normalmente es Internet; de este modo se protege la red interna de intentos de acceso no autorizados desde Internet, que puedan aprovechar vulnerabilidades de los sistemas de la red interna.

También es frecuente conectar al cortafuegos una tercera red, llamada zona desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior.

Un cortafuegos correctamente configurado añade protección a una instalación informática, pero en ningún caso debe considerarse como suficiente. La Seguridad informática abarca más ámbitos y más niveles de trabajo y protección.