Rincón Informático

Hola a todos los lectores!, con mucho gusto les informo que este ha sido uno de los blogs seleccionados para hacer la divulgación de la campaña Desafío HSBC Premier.

¿Y por qué nosotros? Porque aquí siempre hablamos de novedades, tecnologia, web 2.0, entre otros; y esta campaña representa un gran ARG (Alternate Reality Game) que va a involucrar a toda América Latina. Para aquellos que no lo saben, ARG es un juego interactivo en el cual puedes interactuar con diversos ambientes en busca de pistas para descubrir enigmas.

En el Desafío HSBC Premier no será diferente, tendrás como objetivo encontrar a los familiares perdidos de un Viajero Premier. Este personaje salió de Argentina dispuesto a encontrar a todos sus familiares que se dispersaron con el pasar de los años. Él ya encontró a su Padre y ahora tendrás que ayudarlo a encontrar a su Madre, su Hermana, su Hermano, su Primo, y su Abuelo.

Como recompensa, la persona que consiga encontrar a todos los familiares será favorecida con un bellísimo Land-Rover, por el Viajero Premier.

El site funcionará como una especie de base donde tendrás que colocar las pistas encontradas y recibirás nuevas misiones.

Todas las pistas están esparcidas por las redes sociales y puedes seguir al viajero por Facebook, Orkut, Twitter y su blog propio para entender más de su historia y unirte al game.

¡Les deseo buena suerte a todos los lectores y que gane el mejor!

Los complementos de FireFox nos permiten añadir nuevas funcionalidades a nuestro navegador preferido (FireFox) existen infinidad de complementos de diferentes estilos, colores y características, cada uno de estos, trae sus funcionalidades extras y únicas que hacen que sea el preferido por muchos usuarios.

En esta ocasión quería hacer una recopilacion de  algunos complementos o add-ons de FireFox, muy útiles para aquellas personas que trabajen con SEO. Antes de empezar  con la lista, debemos saber que es SEO, en ese aspecto la wiki nos puede ayudar:

La tarea de ajustar la información de las páginas que se pretenden hacer aparecer en primeras posiciones de los resultados es conocida como SEO, sigla en inglés de Search Engine Optimization, o sea, ‘Optimización para motores de búsqueda’. Consiste en aplicar diversas técnicas tendientes a lograr que los buscadores de Internet sitúen determinada página web en una posición y categoría alta (primeras posiciones) dentro de su página de resultados para determinados términos y frases clave de búsqueda. También es entendido como las técnicas de desarrollo web que tengan como objetivo mejorar la posición de un determinado sitio web por sus páginas en la lista de resultados de los motores de búsqueda que en inglés se identifican como SERPs y forma parte de la jerga de los webmasters hispanohablantes.

Complementos o add-ons de SEO para FireFox

• RankQuest SEO Toolbar:La barra de herramientas SEO RankQuest le proporciona acceso rápido a más 30  Herramientas de SEO. Una vez que descargue e instale la barra de herramientas SEO usted es sólo con un par de clicks  podra realizar  la mayoría de sus operaciones del día a día de SEO. Ranking Alexa * y Page Rank proporcionados por Alexa y Google, respectivamente, garantiza la popularidad del sitio. Descargar
• LinkExtend: proporciona valoraciones de meta-sitio-para la seguridad informática, seguridad de los niños, la ética empresarial, y la popularidad. Los resultados de seguridad provienen de ocho servicios en línea lo cual  te da una experiencia de navegación más segura. Enlaces de la web, títulos, archivos y comentarios también están incluidos. Descargar.
• Seo-toolbar: Esta herramienta fue diseñada para que sea más fácil evaluar qué tan fuerte es un sitio web con respecto al seo. La barra de herramientas SEO arroja en muchos puntos de comercialización  datos útiles para hacer más fácil la obtención de  una visión más global del entorno competitivo de cada sitio web. Además de arrojar  datos de marketing útiles, esta barra de herramientas también proporciona enlaces a las fuentes de datos para que pueda profundizar en los datos. Descargar.
• SEOpen: Proporciona un acceso rápido a algunas herramientas basadas en Web para ayudar con la optimización de motores de búsqueda. Rápidamente verifica los enlaces entrantes, PageRank, cabeceras http, y mucho más Descargar.
• Senseo:  Analiza las páginas web y te dice lo bueno que cumple  de Search Engine Optimization. Senseo es un complemento de FireFox integrado  con la popular herramienta de desarrollo web Firebug. El código se basa en la extensión YSlow. Descargar

Existen un sin fin de complementos que nos ayudan a mejorar y evaluar cada sitio en cuanto al SEO  se refiere, Ahora una pregunta interesante ¿Cual extensión de FireFox han usado  para el SEO?

“She was more like a beauty queen from a movie scene”

Tengo que aceptar que esta canción me recuerda a Campus Party, las pocas veces que la escucho lo hago pero en la versión acústica que tiene Chris Cornell.  Por lo mismo os la recomiendo.

Antes que nada debo disculparme enormemente con las personas que nos leen puesto que llevo mucho tiempo sin escribir en RinconInformatico.NET y sin querer he terminado por acostumbrado a no hacerlo, y eso es un grave error de mi parte.

Hoy quiero hablar un poco de mi trabajo.

SAP como todo (¿Gran?) sistema de administración de empresas (ERP) maneja autorizaciones para los usuarios y esta es una buena parte de la seguridad como tal.  Como bien definida por la etimología de la palabra:

Autorización es la capacidad que se le otorga a un individuo para realizar una actividad.

Las autorizaciones en SAP se manejan por medio de ROLES y dentro de los roles encontramos los PERFILES, en estos perfiles de usuario se almacenan las AUTORIZACIONES y son estas las que configuramos por medio de OBJETOS de AUTORIZACION.

¿Claro?

Espero que sí.  Sin embargo y comenzando por lo pequeño… un objeto de autorización simplemente es un mecanismo usado para INSPECCIONAR los privilegios de un usuario para acceder a determinados datos o ejecutar determinados programas.

Es en los objetos de autorización donde se configuran las ACTIVIDADES permitidas a un usuario, para que modifique determinado campo o cambio una descripción:

Ejemplo 1:

El usuario A, desea cambiar la descripción de un material pues resulta que tiene un error gramatical, el objeto de autorización X controla las modificaciones sobre las descripciones en los textos de los materiales.  Por lo tanto el Usuario A debe tener a X en su ROL configurado de la manera adecuada para que le permita ejecutar el cambio.

¿Qué es un Rol?

El rol de un usuario es un contenedor de perfiles, y los perfiles a su vez (como antes lo indicábamos) son los que contienen a las autorizaciones, y estas son simplemente las configuraciones de los Objetos de autorización.  El Rol es lo que en las últimas versiones SAP a implementado con el fin de que la seguridad de accesos al sistema R/3 de SAP pueda ser administrada por una persona sin grandes conocimientos ni experiencia en este tipo de Sistemas de información.

¿Un usuario puede tener varios Roles?

Completamente, de hecho es lo recomendado para las cosas más genéricas, por ejemplo el permiso para imprimir.

¿Un Rol puede tener varios Perfiles?

No, solo hay un rol por perfil.

Entonces ¿Puede haber varias autorizaciones en un perfil?

Afirmativo.  Cada vez que ingresamos un objeto de autorización en un rol o perfil este crea una nueva autorización, con la configuración que se le de al objeto de autorización.

¿Puede darse ese caso?

Todo el tiempo:

Ejemplo 2:

El mismo usuario A quien tiene permiso de modificar descripciones de textos en los materiales de la empresa, NO debe tener acceso de modificación al rango de materiales 100-200 porque estos son materiales para pruebas de calidad y no es necesario, pero si debe tener acceso a la visualización de estos materiales.  Este tipo de permisos son administrados por el objeto Y el cual tiene la posibilidad de configurar la creación, modificación y la visualización sobre los materiales.  Lo que hace un administrador de accesos es agregar DOS objetos, uno que permita la modificación de los rangos que si tiene acceso y otro donde permita la visualización de todos los materiales.

En este caso tendríamos un Rol, un perfil, pero dos autorizaciones y por lo tanto dos objetos de autorización, iguales; pero de diferente configuración.

¿Puede llegar a ser complicado?

Mi experiencia me dice que sí.  Pues las recomendaciones de “los que saben” siempre es que los roles deben configurarse de manera GENERICA, por si alguien más requiere de estos permisos.  Sin embargo YO personalmente NO comparto esta teoría, puesto que la mayoría de las veces que se requiere restringir un acceso implica tener que modificar estos roles genéricos (Y lo que conlleva con ello, bien sea quitando acceso a TODOS lo que tengan dicho ROL u otorgando mas de los necesario a las mismos que tengan dicho rol) y terminar creando roles particulares.  Resultando en lo mismo que crear Roles particulares desde el principio.

Finalmente, los programas estándar de SAP tienen definida las peticiones de información a los roles de los usuarios, a nivel programacional, es decir, en ABAP la sentencia que verifica las autorizaciones es:

Donde “Z_TCODE” es el nombre del objeto de autorización, ID es el campo que controla y FIELD es la actividad que permitida el usuario.

Esta es una explicación a groso modo y para que la entiendan las personas que no manejan SAP todos los días.  En un futuro si lo creo necesario podemos hablar de cómo se realizan las autorizaciones, es decir, un manual donde veamos paso por paso como asignar permisos en los usuarios de un sistema R/3.  Por ahora no lo creo necesario, pero puede llegar el caso.

Así funciona la seguridad en los accesos de SAP, no es ni más ni menos.

Como hoy para mi persona es un día especial, quería compartir estos pensamientos de un personaje de película, en español es llamada como “Nada es para Siempre”, es la parte final de dicha Historia y dice así:

Claro, ya estoy muy viejo para pescar bien.

Casi siempre voy a pescar solo.  Aunque me dicen que no lo haga.

Pero a solas, en la media luz de la cañada…toda la existencia parece esfumarse y quedan mis recuerdos…y los rumores del río y el ritmo en compás de 4…y la esperanza de que muerdan.

A la larga todos los paisajes se funden…atravesados por un río.

El río se formó del gran diluvio…y corre sobre las piedras del tiempo.

Sobre algunas piedras, hay gotas eternas.

Bajo las piedras, están las palabras.

Y algunas de las palabras son suyas.

El río me consuela.

Artículo enteramente dedicado al Mejor de Todos Los Tiempos a mi Papá, a Don Germán.

Revisando y organizando mi disco duro, me encontré con este pequeño ebook, escrito por Bert Hubert, el cual nos habla de los conceptos de enrutamiento con iproute2, entre otras cosas. Aunque el libro es algo viejo, todavía sirver para entender los conceptos, sin importar cual sea la herramienta.

Espero que  les agrade. el libro lo pueden descargar en el siguiente enlace: Enrutamiento avanzado y control de tráfico en GNU/Linux

En Rincon Informatico hemos visto la evolución que ha tenido el soporte de Hardware en GNU/Linux en cuanto a  las siempre dificultosas y problematicas tarjetas wifi de Broadcom.

Al inicio cuando no había soporte, se debía utilizar el driver de Windows haciendo uso del NDISWRAPPER, paso el tiempo  y broadcom publico sus drivers oficiales para GNU/Linux, aunque funcionaban bien, estos no traían el soporte para inyectar, es decir, la tarjeta wifi no se podía poner en modo monitor, característica fundamental a la hora de crackear redes inalámbricas.

Hoy en día con el kernel 2.6.32 el cual trae entre sus mejoras el soporte de estas tarjetas por el driver b43, es posible  poner nuestra tarjeta  wifi BCM43XX  en modo monitor, de una forma sencilla  y rápida. En esta ocasión mostrare el procedimiento  para instalar el driver con su respectiva firmware. Antes de empezar hay que aclarar que este método fue probado en Debian Squeeze con tarjeta BCM4312 (rev 01) , sin embargo es posible  que sirva para varias tarjetas y distribuciones mas (en cuanto a las distribuciones o versiones, todo depende del kernel, osea que si usas una distro diferente puedes compilar manualmente el kernel, y seguir con el siguiente paso de la guia). Para  saber si tu tarjeta esta soportada por el drive puedes entrar en este enlace. Ahora si Manos al teclado!!!

Instalando el Kernel 2.6.32

Para los usuarios de debian squeeze, pueden descargar el kernel desde el repositorio:

apt-get install linux-image-2.6.32-3-686 linux-headers-2.6.32-3-686

Compilando el B43-fwcutter

Hay que tener en cuenta, que si instalas el b43-fwcutter desde los repositorios, no servirá, ya que hay que descargar e instalar  la versión de desarrollo:

Descargamos el paquete

Extraemos y entramos a la carpeta

cd b43-tools/fwcutter
make
cd ..

Ahora procedemos a descargar e instalar la ultima versión del firmware:

export FIRMWARE_INSTALL_DIR=”/lib/firmware”
wget http://downloads.openwrt.org/sources/broadcom-wl-4.178.10.4.tar.bz2
tar xjf broadcom-wl-4.178.10.4.tar.bz2
cd broadcom-wl-4.178.10.4/linux
../../fwcutter/b43-fwcutter -w “$FIRMWARE_INSTALL_DIR” wl_apsta.o

El resultado debe  ser algo como esto:

El siguiente paso es reiniciar.

Después de reiniciar  probamos si nuestra tarjeta wifi ya esta levantada:

iwconfig

Si no te sale tu interfaz cargamos el modulo:

modprobe b43
ifconfig wlan1 up

Con esto la interfaz debera esta levantada, probamos de nuevo.

iwconfig

Añadiendo el driver al inicio.

Vamos al archivo /etc/modules y añadimos la siguiente linea:

b43

Ahora vamos al archivo /etc/rc.local y añadimos esta linea antes del ( exit 0):

modprobe b43

Y listo con eso ya tendremos nuestra tarjeta con soporte de inyeccion. Es gratificante como ver la evolución de GNU/Linux, y por que no ser parte de ella,  Despues de tantas peleas con ndiswrapper y wl por fin tenemos nuestra tarjeta wifi funcionando como debería ser. Espero les sirva a todos aquellos que pro desgracia tienen una tarjeta broadcom.

Nota: ALgunas cosas fueron tomadas del how-to escrito en   este enlace. el cual nos muestra como instalarlo en Gentoo

Hace poco, expertos en seguridad informática expusieron públicamente en la conferencia “Black hat cómo funciona el sistema comercialmente denominado “CompuTrace” y que originalmente es un software “antirobo”. Contenido en la memoria del BIOS, el virus se oculta ante el Sistema Operativo siendo casi indetectable e imperceptible, y persiste luego de los típicos “formateos”.

El título de este artículo va a sonar paranoico para el clásico perfil del usuario medio de Internet: Escéptico, exhibicionista, confiado, fan, consumista, conformista, dependiente, etc.

Según ellos (la gran mayoría) en la nueva moral “moderna” la privacidad debe morir… Y todo el mundo debe estar registrado con nombre, apellido, foto, y todos sus datos personales, junto a sus amigos en alguna “Red Social”.

Indirectamente, según la nueva moral, todo aquel que quiera privacidad es un potencial “terrorista”, y nadie quiere estar “marginado fuera del sistema”.

Ojala lo que yo escribiese sería de Ciencia Ficción, o estaría equivocado. (Uno muchas veces se equivoca). Pero en esta temática la cual escribo (política y tecnología) el tiempo y la experiencia no hacen más que comprobar y confirmar la información o los ensayos que vengo publicando en la red.

En este caso, para el lector no informático o tecnofóbico: Nos referimos a BIOS, el Software esencial de toda computadora/ordenador, el cual está grabado en una memoria o chip de todas las mismas, y cuya función es elemental: encender y reconocer el hardware de todas las PC, lo primero que se ejecuta.

Recientemente, unos expertos en seguridad argentinos han mostrado en conferencias públicas cómo funciona el sistema comercialmente denominado “CompuTrace” y que originalmente es un Software “antirobo”. En pocas palabras, han mostrado públicamente como la mayoría de los BIOS populares (AMI, Award, Phoenix) pueden estar infectados fácilmente por un virus Rootkit (un Software que se oculta ante el Sistema Operativo siendo casi indetectable e imperceptible) contenido en la memoria del BIOS, haría a este virus persistente contra los típicos formateos de un disco rígido, y luego enviando conectándose a una casa central, monitoreando con la IP (dirección única en Internet) entre otra información y probablemente dando control remoto a los agentes.

Esta tecnología está patentada por EEUU, teniendo en cuenta las leyes antidemocráticas que hay (como las de las puertas traseras como requisito legal), es un dato importante. Esta línea es experimental sólo la incluí para que sepan que la verdadera fuente de este artículo es http:///http://www.estrellaroja.info

Lo peligroso: Este sistema comenzó a implementarse MASIVAMENTE en las PC y portatiles Notebook’s. Quedando activado o estando ahí posibilitando fácilmente su activación y dejando vulnerable a la privacidad de dicha máquina. El mismo virus rootkit es independiente del Sistema Operativo. La pregunta inevitable, ¿la información de pueblos enteros, de Estados soberanos pueden ser fácilmente también afectadas por este método?

A estilo “bonustrack”, informar también: Emails encriptados gratuitos serían una trampa, era un poco “sospechoso” los servicios de Correo encriptado como Hushmail o S-mail, estarían TAMBIÉN [0] siendo controlados por la NSA [1]. Como también Google estaría empezando a ser informadora de esta agencia [2].

Cuba ya se ha puesto a la defensiva contra el plan imperialista de “exportación de Facebook/MSN” [3], aunque el ALBA recientemente sufre una operación de prensa contra Chávez relacionada con “la censura de Internet”- EEUU: Campaña contra Chávez e Internet http://www.europapress.es/internacional/noticia-venezuela-venezuela-crea-comision-especial-controlar-internet-20100317033647.html

China ha denunciado a EEUU: http://www.jornada.unam.mx/2010/03/13/index.php?section=mundo&article=016n1mun

Información utilizable para la desactivación del BIOS RootKit: http://corelabs.coresecurity.com/index.php?module=Wiki&action=view&type=publication&name=Deactivate_the_Rootkit

FUENTE

Quiero compartir con ustedes estos libros que seguramente a quienes les interesa el Desarrollo sobre la web, les será de gran utilidad.

Podemos acceder a dichos libros Online o también los podemos descargar en formato pdf. El material está bajo la licencia Creative Commons. (Idioma Español)

Pagina principal: www.librosweb.es

Descarga directa:
- Introducción a AJAX -> acá

- Introducción a JavaScript -> acá

- Introducción a CSS -> acá

- CSS avanzado -> acá

- Introducción a XHTML -> acá

Symfony, la guía definitiva:

- Symfony 1.0, la guía definitiva -> acá

- Symfony 1.1, la guía definitiva -> acá

- Symfony 1.2, la guía definitiva -> acá

- El tutorial Jobeet de symfony 1.2 -> acá

- El tutorial Jobeet de symfony 1.3 -> acá

Bueno espero que les sea de gran ayuda a todos, nunca esta demás tener un libro a la mano cuando estemos en problemas . Hasta la próxima!!

Un autor de exploits de Core Security Technologies ha descubierto una seria vulnerabilidad que expone a los usuarios del software de virtualización Microsoft Virtual PC a los ataques de hackers maliciosos.

La vulnerabilidad, la cual no tiene parche, esencialmente permite a un atacante eludir varias de la principales mitigaciones de seguridad — Data Execution Prevention (DEP), Safe Exception Handlers (SafeSEH) y Address Space Layout Randomization (ASLR) — para explotar el sistema operativo Windows.

Como resultado, algunas aplicaciones con fallas que no son explotables cuando corren en un sistema operativo no-virtualizado se vuelven explotables su corren dentro de un SO huésped en Virtual PC, según Ivan Arce, Jefe de Tecnología de Core.

La falla, descubierta por el escritor de exploits Nicolás Enonomou, existe en el administrador de memoria del Monitor de Máquina Virtual. Provoca que las páginas de memoria por encima del nivel de 2GB sean accedidas con privilegios de lectura o lectura/escritura por los programas en espacio de usuario en un sistema operativo huésped.

El software afectado incluye Microsoft Virtual PC 2007, Virtual PC 2007 SP1, Windows Virtual PC y Microsoft Virtual Server 2005. En Windows 7 la característica del modo XP también es afectado por la vulnerabilidad.

En particular, una aplicación vulnerable corriendo en Modo Windows XP en Windows 7 puede ser explotable en un ambiente virtual, en tanto la misma aplicación corriendo directamente en un sistema operativo Windows XP SP3 no.

La tecnología Microsoft HyperV no es afectada por este problema.

Fuente

En esta oportunidad hablaremos del firewall de Linux más conocido como IPTABLES. Primero daremos algunas definiciones para poner en contexto y por ultimo mostraremos como configurar un firewall utilizando shorewall, teniendo en cuenta que la configuración aquí realizada es pensada para un equipo personal y no para uno que cuidará toda una red.

El firewall es un sistema de control sobre los puertos de nuestro sistema, de tal modo que podemos establecer cuales puertos pueden ser accedidos desde fuera y cuáles no.
El firewall de GNU/Linux es Netfilter, que trabaja en espacio de kernel, no es un servicio en espacio de usuario y se configura por medio de IPTABLES.

IPTABLES según la wikipedia es: “iptables es el nombre de la herramienta de espacio de usuario mediante la cual un administrador puede definir políticas de filtrado del tráfico que circula por la red”

La herramienta utilizada para configurar estas políticas de seguridad será en este caso Shorewall que en su sitio oficial es definido como: “Una herramienta de alto nivel para la configuración de Netfilter”

Bueno y ahora más teoría. No hablaremos con todos lo tecnicismos que algunos les gusta, porque la idea es que todos puedan entender, o por lo menos que sirva de forma de introducción al tema.

Digamos que el kernel le encarga a Netfilter la tarea de recibir y transmitir paquetes y los revisa antes de transmitirlos.

Para revisarlos Netfilter se vale de una serie de “condiciones” que cada paquete debe cumplir. De tal modo que todo paquete que no cumpla con las “condiciones” se tira a la basura.

Estas famosas “condiciones” son las que permiten a Netfilter clasificar cada paquete y hacer con cada uno lo que sea establecido por estas condiciones.

Netfilter necesita que estas “condiciones” sean coherentes, que no sean contradictorias. No podemos decirle “descarta este paquete” y luego decirle “ah, no, mejor transmite este paquete”. Por eso, como no le gusta que le compliquen el trabajo, además de la coherencia, atenderá a cada “condición” en el orden en que fueron declaradas.

¿Y cómo declaramos las “condiciones”?

Nuestro sistema funciona por medio de “servicios” que “escuchan” en un “puerto” del sistema, esperando a que un “cliente” realice una “petición” al “servicio”. Cada “Petición” es “atendida” por el “servicio” que pidió el “cliente”.

Esto es lo que se conoce como un “sistema cliente/servidor” y GNU/Linux respeta este modelo, entonces podríamos decir que Netfilter trabaja capturando las “peticiones” de todos los “puertos” antes de que sean “atendidas” por los “servicios”.

Netfilter maneja esta tarea a través de iptables. Como cada “petición” es esencialmente un “paquete” de datos, diremos que iptables controla paquetes de la siguiente manera:

1. Iptables maneja tablas, haciendo que los paquetes atraviesen una tabla. (table)
2. Cada tabla posee cadenas. (chains)
3. En cada cadena se establece una política general. (policies)
4. Luego se establecen reglas que saltan (jump) la condición de la política.

Entonces, la tabla actuará como filtro de los paquetes. (Filter)

Sucede que los paquetes pretenden realizar una de tres acciones:

1) Un paquete que quiere salir del sistema. Por ejemplo, solicitar una dirección web en el navegador. Esta petición bajara por las capas OSI, pretenderá salir por un puerto y será “atendida” por Netfilter; si cumple las reglas sale el paquete del sistema.

2) Un paquete que quiere entrar al sistema. Por ejemplo, el resultado de la solicitud anterior. Llega el paquete que quiere entrar por el puerto 80 y será “atendida” por Netfilter; si cumple las reglas entra el paquete y sube por las capas OSI para presentar la página en el navegador.

3) Un paquete que quiere pasar por el sistema. Por ejemplo, si nuestra máquina actúa como proxy. Recibirá paquetes de la LAN queriendo ir a la WAN pasando obligadamente por Netfilter para lograrlo.

En esta tabla de filtro, tendremos una cadena para cada acción:

1. Un paquete que quiere salir (OUTPUT) de nuestro sistema.
2. Un paquete que quiere entrar (INPUT) a nuestro sistema.
3. Un paquete que quiere pasar (FORWARD) por nuestro sistema.

A nivel de política, tendremos dos opciones:

1. Rechazar todos los paquetes y empezar a construir excepciones a esta política.
2. Aceptar todos los paquetes y empezar a construir excepciones a esta política.

Una vez que definimos la “política” que aplicará iptables, deberemos empezar con las reglas.

Continuando con un poquito de teoría miremos como es que se establecen las conexiones con un pequeño ejemplo.

Cuando una máquina A quiere acceder a otra máquina B lo hace desde un puerto de A hacia un puerto de B, mandando un saludo.

Entonces B recibe un saludo de A, marcando en su puerto una conexión nueva (NEW) y respondiendo el saludo de A.

Luego A recibe la respuesta de B, marca la conexión del puerto como establecida (ESTABLISHED) y se prepara para comunicarse con B.

Luego B recibe la respuesta de A, marca la conexión del puerto como establecida (ESTABLISHED) y se prepara a recibir datos de A.

Los datos transmitidos por A hacia B y por B hacia A son relacionados (RELATED) a la conexión.

El kernel mantiene un control del estado de éstas conexiones y pueden ser usadas para filtrar paquetes por iptables.

Antes de continuar con la configuración de nuestro firewall demos respuesta a esto: qué es mejor: ¿bloquear un puerto abierto o hacer creer que el puerto está cerrado?

Si el puerto es bloqueado se sabe que está abierto y es néctar tcp para las abejas cracker’s que quieren hacerse un picnic con nuestra maquina, en cambio si un puerto está cerrado no existe fundamento para un ataque. Si “disfrazamos” los puertos abiertos como cerrados no tendremos abejas zumbándonos.

Ahora con esto ya claro pasemos a configurar nuestro firewall personal con shorewall. Esta instalación es pensada para maquinas que tengan como sistema operativo Debian/Squeeze, Cabe aclarar que esta aplicación también está disponible para otros sabores de Linux.

Bueno ya a esta altura se estarán preguntando ¿Por qué shorewall y no directamente con IPTABLES? Básicamente porque es más fácil trabajar con un front-end que directamente con los comandos, y porque así podremos concentrarnos mucho más en las reglas. Shorewall se encargará automáticamente de convertir todo al formato de Iptables. Mucho más práctico ¿no?

Bueno manos a la obra

Para empezar lo primero que hacemos es actualizar nuestra lista de paquetes.

#apt-get update

Despues de que termine de actualizar la lista pasamos a instalar los paquetes necesarios para poder tener shorewall en nuestro sistema.

#apt-get install shorewall shorewall-perl

Cuando termine la instalacion pasamos a realizar configuraciones necesarias. Shorewall trae unos ejemplos para 1, 2 y para hasta 3 interfaces de configuración en /usr/share/doc/shorewall/examples/ que debemos copiar a la carpeta /etc/shorewall para esto ejecutamos los siguientes comandos (en este tutorial solo copiaremos los de una sola interfaz):

#cd /usr/share/doc/shorewall/examples/one-interface/

#cp -p interfaces rules zones policy /etc/shorewall/

Ahora seguimos a configurar estos archivos. Y para eso nos vamos al directorio /etc/shorewall/ donde copiamos todos los archivos de configuracion basica.

Shorewall Zones

El primer archivo de configuración que vamos a modificar es el de “zones”.

Shorewall ve la red donde se encuentra como un conjunto de zonas, para el caso de una sola interfaz de red que estamos haciendo solo vamos a tener dos zonas. Primero ejecutamos el siguiente comando:

#vim zones

Se verificara que el archivo tiene la linea de net ipv4, justo despues de fw firewall debe verse como la imagen anterior, ya los ejemplos lo traen por eso solo se va a verificar.

La zona fw firewall siempre debe existir ya que es la zona que reconoce Shorewall como suya, además será definida como una variable $FW en el shell una vez que ejecutemos el Shorewall y será referida durante toda la configuración.

Para más información de las zonas puedes ejecutar man shorewall-zones

Shorewall interfaces

Ahora debemos de obtener el nombre de la interfaz externa como se muestra en la siguiente imagen.

Por supuesto que la dirección IP de tu computadora puede ser distinta al igual que el nombre de la interfaz en este caso eth1. Fijense que la interfaz externa viene dado por la línea default via 192.168.0.1 dev eth1. Esto es importante si se tiene más de una interfaz de red.

Con esta información procederemos a modificar el archivo “interfaces”, ejecutamos el siguiente comando:

#vim interfaces

Y lo modificamos para que el archivo quede algo parecido a esto:

Breve explicacion de lo anterior

ZONE: Aquí definimos la zona a la cual va a pertenecer la interfaz que vamos a definir, en este caso la zona es net que ya definimos anteriormente

INTERFACE: El nombre de la interfaz

BROADCAST: Es opcional. Aquí definimos que queremos que haga el Shorewall con los paquetes de Broadcast en este caso con la opción detect le decimos que detecte las direcciones de broadcast por nosotros. Tambien podríamos colocar aquí la dirección IP de broadcast de nuestra red.

OPTIONS: Esta es la parte más extensa, así se explicara las opciones utilizadas aquí.

dhcp: Esta opción se debe colocar si tu computadora obtiene su dirección IP vía DHCP, o si tu firewall está instalado en un servidor DHCP.

tcpflags: Esta opción hace que Shorewall revise los paquetes por combinaciones ilegales de FLAGS (o banderas) TCP. Nunca está de más tenerlo.

logmartians: Esta opción hace que Shorewall registre paquetes con direcciones de origen imposibles, para esto tenemos que tener habilitado el routefilter en la interfaz lo cual veremos más adelante como hacerlo.

nosmurfs: Filtra paquetes smurfs (paquetes que tienen como dirección de origen una dirección de broadcast)

blacklist: Analiza los paquetes contra la lista negra que definiremos más adelante en el archivo blacklist del shorewall

routeback:Permite que Shorewall filtre paquetes que se devuelven a esta misma interfaz

Con esto el archivo de interfaces esta listo, lo guardamos y seguimos con la configuración.

Nota: Para más información del archivo de interfaces y sus opciones pueden ejecutar man shorewall-interfaces.

Shorewall Policy

Aqui vamos a definir una política que determina como Shorewall maneja la conexión entre las distintas zonas. Es de destacar que las instrucciones se ejecutan de arriba a abajo por lo que es importante mantener el orden para que se ejecuten adecuadamente.

#vim policy

Y modificamos el archivo para que quede así:

Lo que estamos diciendo aquí es que todo lo que venga de $FW que lo definimos anteriormente es la zona de Firewall de Shorewall sea aceptado y que todo lo demás sea rechazado para que pase por las reglas que crearemos a continuación.

Para más información pueden buscar las páginas de manual ejecutando man shorewall-policy.

Shorewall rules

Las reglas sirven para agregar excepciones a las politicas que declaramos anteriormente, si dejamos las politicas como están sin agregar ninguna regla pues no podremos ni siquiera navegar asi que vamos a modificar el archivo de rules ejecutando para que nos quede de la siguiente manera:

#vim rules

Nombre como Ping, SSH, etc nos describe el protocolo sobre el que vamos a efectuar la acción que puede ser ACCEPT. REJECT, DROP entre otras. Shorewall cuenta con varios MACROS, los MACROS no son más que reglas prehechas que estamos utilizando aquí como Ping, SSH, DNS, etc. Para ver una lista completa de los macros puedes ejecutar shorewall show macros.

Luego de colocar el macro y la Acción pasamos a colocar el destino que en este caso es la zona red que declaramos al principio y luego colocamos el destino que es la zona Firewall en el caso de las conexiones entrantes (net—>firewall) e invertido para las conexiones salientes (firewall–>net).

Si quisieramos aplicar una regla sobre un puerto y protocolo específico la declaramos de la siguiente forma:

ACCEPT          $FW     net             tcp     873

REJECT          $FW     net             udp     443

Ahora los útlimos retoques, vamos a modificar el archivo de configuración de Shorewall:

vim /etc/shorewall/shorewall.conf

Asegurense que los siguientes valores están correctos:

STARTUP_ENABLED=Yes

ROUTE_FILTER=Yes

Con STARTUP_ENABLED le decimos al Shorewall que inicie con el sistema, y con ROUTE_FILTER del cual hablamos ya arriba en la parte de Interfaces

Por ultimo, cambiar la linea startup=0 por startup=1 del archivo /etc/default/shorewall

Para iniciar manualmente a Shorewall y probar nuestra configuración ejecutamos:

shorewall start

Con esto nos dará algo parecido a esto:

Con esto ya tendremos un firewall personal totalmente funcional, asi que ya pueden poner a prueba sus configuraciones.

Shorewall registra todo a través del log del sistema para ver los logs podemos ejecutar los siguientes comandos:

1. shorewall show log (Muestra los últimos 20 mensajes de netfilter)
2. shorewall logwatch (Verifica los logs a un tiempo determinado)
3. shorewall dump (Nos da un amplio reporte de los problemas encontrados por Shorewall)

Bueno esto es todo por el momento, espero y les sea de utilidad, que la fuerza este con ustedes y hasta la proxima.

Fuente 1

Fuente 2

Fuente 3

El pasado Martes 9 de Marzo, Microsoft publicó un “Security Advisory (981374)”. La vulnerabilidad es un use-after-free (Referencia no valida a un puntero) la vulnerabilidad se encuentra en Iepeers.dll y sólo afecta a las versiones de Internet Explorer 6 y 7.

Es posible bajo determinadas condiciones para el puntero no válido, tener acceso después de que se haya eliminado un objeto. En un ataque, al tratar de acceder a un objeto liberado Internet Explorer puede permitir la ejecución remota de código.

Si un atacante explota esta vulnerabilidad podría obtener los mismos privilegios del usuario actualmente logueado en el computador. Así que a los usuarios de estas versiones de Internet Explorer se les recomineda que se actualicen a la version más reciente.

Para esta vulnerabilidad ya existe un exploit, la forma en que se puede explotar la vulnerabilidad la puede encontrar en esta PAGINA

Referencias

Microsoft Security Advisory

cve-2010-0806

A medida que pasamos tiempo en la internet vamos creando cuentas en muchos lugares como: cuentas de correo, foros, etc. y esto nos trae varios problemas. Uno es tener que crear buenos password para cada cuenta y el otro seria tener que recordarlos todos.

Para esto aparecen herramientas como KeePassX que nos facilita un poco la vida en este aspecto, ayudando en la creación de las  contraseñas rigurosas, recordándolas por nosotros, etc.

Ahora se les mostrara como instalarlo y como usarlo en Debian/Squeeze. Cabe aclarar que esta herramienta también se encuentra para Windows y su uso es igual, esto nos da una ventaja y es la posibilidad de llevar nuestras contraseñas a todas partes, la otra ventaja es que el programa es portable, así que no tendremos que instalar nada por lo menos  cuando estamos en plataformas Windows, solo seria de exportar e importar nuestra BD de contraseñas.

Instalación

Cuando termine la instalación, abrimos nuestra aplicación y le damos en nuevo para crear nuestra primera base de datos. Aparecerá una ventana pidiéndonos la contraseñas maestra (la única a recordar a partir de este momento) se confirma y listo.

Ahora solo queda empezar a llenar nuestra BD con todas nuestras contraseñas. Para este paso solo debemos de dar click derecho sobre uno de los iconos que aparece en la derecha de la aplicación ya sea en Internet o en email según sea el caso, y después click en “Añadir Nueva entrada” llenamos los datos que nos piden y listo click en “Aceptar”.

Y por ultimo solo queda decir que cuando cerramos nuestra aplicación el nos pide que guardemos la BD le damos un nombre  y listo a olvidarnos de todas las contraseñas el programa las recordará por nosotros.

Espero y les haya sido de utilidad y hasta la próxima.

Pagina web del proyecto KeePassX



Si alguna vez necesitan  monitorear y analizar el trafico de su red, para identificar algún problema con su ancho de banda,  visualizar estadísticas del trafico, entre otras: Ntop es la herramienta indicada: según la wiki:

TOP (Network TOP) es una herramienta que no puede faltar al administrador de red, porque permite monitorizar en tiempo real los usuarios y aplicaciones que están consumiendo recursos de red en un instante concreto y además es capaz de ayudarnos a la hora de detectar malas configuraciones de algún equipo (esto salta a la vista porque al lado del host sale un banderín amarillo o rojo, dependiendo si es un error leve o grave), o a nivel de servicio. Posee un microservidor web que permite que cualquier usuario, que sepa la clave, pueda ver la salida NTOP de forma remota con cualquier navegador, y además es GNU. El software esta desarrollado para platarfomas Unix y Windows.

Los protocolos que es capaz de monitorizar son: TCP/UDP/ICMP, (R)ARP, IPX, DLC, Decnet, AppleTalk, Netbios, y ya dentro de TCP/UDP es capaz de agruparlos por FTP, HTTP, DNS, Telnet, SMTP/POP/IMAP, SNMP, NFS, X11.

La instalación puede realizarse de varias formas:

1. Descargando las fuentes de Ntop e instalando de forma habitual en GNU/Linux:

./configure
make
make install

2. Usando el gestor de paquetes:

apt-get install ntop graphviz

Después de instalarlo procedemos a configurarlo:

dpkg-reconfigure ntop

Allí debemos seleccionar la interfaz que esta conectada a nuestra red. (Debemos recordar que ntop necesita poner la interfaz en modo promiscuo, para escuchar todo el trafico).

Ahora establecemos la contraseña del usuario de ntop:

ntop –set-admin-password

Solo nos queda iniciar el servicio:

/etc/init.d/ntop start

Por ultimo entramos a la interfaz web de ntop, abrimos un navegador y tecleamos la direccion:

http://127.0.0.1:3000

Como pueden ver la instalación es muy sencilla,  aunque hay que aclarar que esta es una configuracion básica, ya que para notar el total funcionamiento de la aplicacion, necesitamos instalar algunas otras librerías, como servidor MYSQL, openSSL, entre otras. Sin embargo es una buena opción para detectar errores en nuestra red y poder corregirlos a tiempo.