Modulo de Seguridad

Configuracion De IPsec En Linux Utilizando Racoon

2008-07-01T05:58:00.000-07:00

Racoon es un software que se comunica atravez de IKE (ISAKMP / Oakley) para establecer una asociacion de seguridad entre varios equipos.

Debemos instalar el paquete desde el repositorio:

#apt-get install racoon

El directorio donde se almacenanlos archivos es: /etc/racoon

Debemos configurar la clave precompartida con la que se estableceran las conexiones, esto lo hacemos desde el archivo /etc/racoon/psk.txt

#pico /etc/racoon/psk.txt

Un archivo psk.txt correctamente configurado se veria asi:

# Direcciones IPv4
192.168.0.20 clave precompartida simple 192.168.0.10 "abcdefghijklmnopqrstuvwx"
# USER_FQDN
#sgarcia@misena.edu.co Esta es una clave precompartida para una dirección de correo
# FQDN
#www.spenneberg.net Esta es una clave precompartida

# IPv4/v6 addresses
#10.160.94.3 mekmitasdigoat
#172.16.1.133 0x12345678
#194.100.55.1 whatcertificatereally
#3ffe:501:410:ffff:200:86ff:fe05:80fa mekmitasdigoat
#3ffe:501:410:ffff:210:4bff:fea2:8baa mekmitasdigoat
# USER_FQDN
#foo@kame.net mekmitasdigoat
# FQDN
#foo.kame.net hoge

La parte resaltada es la mas importante puesto que alli configuramos las direcciones IP de los eqipos que se comunicaran utilizando esa clave precompartida (las direcciones cambian segun el caso de cada red y la configuracion debe ser igual en el otro equipo pero con las direcciones invertidas).

Despues de terminar la configuracion de este archivo pasamos a configurar el archivo racoon.conf.

#pico /etc/racoon.conf

Desde este archivo configuraremos los algoritmos de cifrado entre otras cosas.
Veamos el archivo

# NOTE: This file will not be used if you use racoon-tool(8) to manage your
# IPsec connections. racoon-tool will process racoon-tool.conf(5) and
# generate a configuration (/var/lib/racoon/racoon.conf) and use it, instead
# of this file.
#
# Simple racoon.conf
#
#
# Please look in /usr/share/doc/racoon/examples for
# examples that come with the source.
#
# Please read racoon.conf(5) for details, and alsoread setkey(8).
#
#
# Also read the Linux IPSEC Howto up at
# http://www.ipsec-howto.org/t1.html
#

path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

remote 192.168.0.20 {
exchange_mode main,aggressive;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group modp768;
}
generate_policy off;
}

sainfo address 192.168.0.10[any] any address 192.168.0.20[any] any {
pfs_group modp768;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}
sainfo address 192.168.0.20[any] any address 192.168.0.10[any] any {
pfs_group modp768;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}

Si nos ponemos a analizar detalladamente este archivo veremos que al igual que en los demas archivos que hemos configurado para trabajar con IPsec se deben generar parametros de comunicacion que involucran las direcciones IP de los equipos que se van a comunicar de forma segura, tambien podemos ver que en el parametro "remote" como es obvio debemos poner la direccion IP del equipo remoto, tambien desde aca definimos los algoritmos de cifrado y autenticacion que en este caso son:

Cifrado: 3des
Autenticacion: hmac_md5

Por ultimo debemos configurar el archivo de configuracion de IPsec.

#pico /etc/ipsec-tools.conf

Asi quedaria el archivo configurado correctamente:

#!/usr/sbin/setkey -f

# NOTE: Do not use this file if you use racoon with racoon-tool
# utility. racoon-tool will setup SAs and SPDs automatically using
# /etc/racoon/racoon-tool.conf configuration.
#

## Flush the SAD and SPD
#
flush;
spdflush;

## Some sample SPDs for use racoon
#
# spdadd 10.10.100.1 10.10.100.2 any -P out ipsec
# esp/transport//require;
#
# spdadd 10.10.100.2 10.10.100.1 any -P in ipsec
# esp/transport//require;
#

# Políticas de seguridad
spdadd 192.168.0.10 192.168.0.20 any -P out ipsec
esp/transport//require;
# ah/transport//require;
spdadd 192.168.0.20 192.168.0.10 any -P in ipsec
esp/transport//require;
# ah/transport//require;

Despues de tener los archivos de configuracion correctamente configurados reiniciamos los servicios:

#setkey -f ipsec-tools.conf

#/etc/init.d/racoon restart

Con esto terminamos la configuracion de IPsec con Racoon. Veamos una captura realizada con una configuracion correcta.

Configuracion De IPsec en Linux

2008-07-01T05:21:00.001-07:00

Debemos instalar primero el paquete de IPsec.

#apt-get install ipsec-tools

-Cuando instalamos ipsec debemos ver si existe un archivo llamado ipsec-tools.conf, este aparece en el directorio /etc esta es una muestra de lo que contiene este archivo.

-Estas son las lineas que debemos modificar:

primero debemos descomentar las lineas

# flush;
# spdflush;

NOTA: ipsec trabaja con AH (AUTHENTICATION HEADER) y ESP (ENCAPSULATION SECURITY PAYLOAD). y vamos a configurar IPsec con cada uno de ellos.

* Configuracion IPsec con AH.

AH es un protocolo que proporciona en el ámbito de IPSec la autenticación del emisor y la integridad del mensaje mediante el cálculo de un código HMAC.

-Debemos agregar las siguientes lineas en el archivo de configuracion para que nuestro IPsec trabaje con AH (las direcciones IP utilizadas aqui son para el caso del ejemplo, para otra configuracion debes tener en cuenta el rango de direccionamiento de la red):

add 192.168.0.10 192.168.0.20 ah 0x200 -A hmac-md5 "abcdefghijklmnop";
add 192.168.0.20 192.168.0.10 ah 0x300 -A hmac-md5 "abcdefghijklmnop";

192.168.0.10 es mi direccion IP y 192.168.0.20 es la direccion del equipo con el estableceremos la conexion IPsec, hmac-md5 es el algoritmo que usaremos y "abcdefghijklmnop" es la clave precompartida que debe ser de 1024 bits ya que esto es lo que soporta md5. La longitud varia dependiendo del algoritmo que se utilize.

La segunda linea se agrega para establecer la conexion en sentido contrario, estableciendo asi la comunicacion en doble sentido.

-Tambien debemos configurar las siguientes lineas del archivo ipsec-tools.conf

spdadd 192.168.0.10 192.168.0.20 any -P out ipsec
ah/transport//require;

spdadd 192.168.0.20 192.168.0.10 any -P in ipsec
ah/transport//require;

Asi especificamos nuevamente la comunicacion en ambos sentidos y tambien que trabajaremos con AH.

Asi queda el archivo de configuracion correcto:

#!/usr/sbin/setkey -f

# NOTE: Do not use this file if you use racoon with racoon-tool
# utility. racoon-tool will setup SAs and SPDs automatically using
# /etc/racoon/racoon-tool.conf configuration.
#

## Flush the SAD and SPD
#
flush;
spdflush;

## Some sample SPDs for use racoon
add 192.168.0.10 192.168.0.20 ah 0x200 -A hmac-md5 "abcdefghijklmnop";
add 192.168.0.20 192.168.0.10 ah 0x300 -A hmac-md5 "abcdefghijklmnop";

#
spdadd 192.168.0.10 192.168.0.20 any -P out ipsec
ah/transport//require;

#
spdadd 192.168.0.20 192.168.0.10 any -P in ipsec
ah/transport//require;

#

-Algo que debemos tener en cuenta es que en el equipo con el que vamos a establecer la conexion IPsec debe tener los mismos parametros configurados pero en sentido contrario al nuestro, por ejemplo, veamos como se veria el archivo de configuracion del equipo 192.168.0.20:

#!/usr/sbin/setkey -f

# NOTE: Do not use this file if you use racoon with racoon-tool
# utility. racoon-tool will setup SAs and SPDs automatically using
# /etc/racoon/racoon-tool.conf configuration.
#

## Flush the SAD and SPD
#
flush;
spdflush;

## Some sample SPDs for use racoon
add 192.168.0.20 192.168.0.10 ah 0x300 -A hmac-md5 "abcdefghijklmnop";
add 192.168.0.10 192.168.0.20 ah 0x200 -A hmac-md5 "abcdefghijklmnop";

#
spdadd 192.168.0.20 192.168.0.10 any -P out ipsec
ah/transport//require;

#
spdadd 192.168.0.10 192.168.0.20 any -P in ipsec
ah/transport//require;

#

-Despues de tener listo el archivo de configuracion recargamos IPsec

#setkey -f /etc/ipsec-tools.conf

Ahora podemos comprobar si esta funcionando capturando paquetes con el comando tcpdump.

Si la configuracion esta correcta debemos ver un resultado como este:

La configuracion de ipsec con AH esta terminada.

* Configuracion de IPsec con ESP.

ESP es un protocolo que proporciona en el ámbito IPSec confidencialidad, autenticación y protección de integridad utilizando llaves cifradas.

El archivo terminado con ESP queda de esta manera:

#!/usr/sbin/setkey -f

# NOTE: Do not use this file if you use racoon with racoon-tool
# utility. racoon-tool will setup SAs and SPDs automatically using
# /etc/racoon/racoon-tool.conf configuration.
#

## Flush the SAD and SPD
#
flush;
spdflush;

## Some sample SPDs for use racoon
add 192.168.0.10 192.168.0.20 esp 0x201 -E 3des-cbc "abcdefghijklmnopqrstuvwx";
add 192.168.0.20 192.168.0.10 esp 0x301 -E 3des-cbc "abcdefghijklmnopqrstuvwx";

#
spdadd 192.168.0.10 192.168.0.20 any -P out ipsec
esp/transport//require;

#
spdadd 192.168.0.20 192.168.0.10 any -P in ipsec
esp/transport//require;

#

Las 2 diferencias principales en comparacion con la configuracion de AH son: El algoritmo de cifrado cambio de md5 a 3des y por eso la longitud de la clave precompartida cambia a 2048 bites, es decir 24 caracteres y que ahora la opcion "-A" cambio a "-E" para encriptar.

-Recargamos ipsec

#setkey -f /etc/ipsec-tools.conf

-Hacemos la misma prueba que con AH usando tcpdump.

si nos aparece el siguiente resultado esto significa que todo esta bien configurado:

con esto hemos terminado la configuracion de ipsec con esp y seguiremos con:

* Configurcion de IPsec con AH y ESP.

Es posible que IPsec funcione con AH y ESP juntos para hacerlo mucho mas seguro. Para hacerlo simplemente juntamos las dos configuraciones que hicimos anteriormente, veamos como queda el archivo de configuracion:

#!/usr/sbin/setkey -f

# NOTE: Do not use this file if you use racoon with racoon-tool
# utility. racoon-tool will setup SAs and SPDs automatically using
# /etc/racoon/racoon-tool.conf configuration.

## Flush the SAD and SPD
#
flush;
spdflush;

#

## Some sample SPDs for use racoon
add 192.168.0.10 192.168.0.20 ah 0x200 -A hmac-md5 "abcdefghijklmnop";
add 192.168.0.20 192.168.0.10 ah 0x300 -A hmac-md5 "abcdefghijklmnop";
add 192.168.0.10 192.168.0.20 esp 0x201 -E 3des-cbc
"abcdefghijklmnopqrstuvwx";
add 192.168.0.20 192.168.0.10 esp 0x301 -E 3des-cbc "abcdefghijklmnopqrstuvwx";

#
spdadd 192.168.0.10 192.168.0.20 any -P out ipsec
esp/transport//require
ah/transport//require;

#
spdadd 192.168.0.20 192.168.0.10 any -P in ipsec
esp/transport//require
ah/transport//require;

#

-Capturamos trafico con tcpdump y nos debe mostrar un resultado como este, debemos copiar el siguiente comando esto se hizo tambien con las anteriores capturas:

#tcpdump -i eth0 src host 192.168.0.20 or dst host 192.168.0.20

Damos por terminado la configuracion de ipsec con ah y esp.

Configuracion de IPsec en Windows

2008-06-30T16:37:00.000-07:00

1. Iniciaremos una consola de administracion esto lo haremos dando clic en inicio, ejecutar, copiamos mmc y damos enter, nos aparecera algo como:

2. Después de haber dado enter nos aparecerá la siguiente ventana en esta ventana damos clic en en archivo y en agregar o quitar complemento.

3. Luego eligiremos la consola de administracion que deseamos en el siguiente recuadro.

-en este recuadro le damos clic en agregar.

4. En la ventana que nos aparecie escojemos la opcion ip security policy management y le damos add nos aparecera otra ventana la cual nos pregunta en que equipo vamos agregar el complemento, le damos en equipo local y finish, despues seleccionaremos el otro complemento que sera ip security monitor le damos clic en add y luego en close.

5. Aqui nos muestran las consolas que seleccionamos y luego de estar seguros de que se escojieron bien damos clic en aceptar.

6. Despues de terminar lo anterior nos aparecera las opciones de configuracion de ipsec. Ya con esto empesaremos a configurar politicas de ipsec.
-primero damos clic derecho en directivas de seguridad (ip security policy management) y le damos clic en crear directiva de seguridad ip

7. Nos aparecera un asistente de configuracion.

-le damos clic en siguiente.

8. nos saldra una un recuadro donde nos pedira el nombre y la descripcion que le vamos a colocar a la directiva y le damos clic en siguiente.

9. luego nos saldra el siguiente cuadro el cual nos esta dice si queremos activar la regla de respuesta predeterminada, esto es para que los equipos remotos cundo soliciten seguridad se le responda y se le solicite seguridad en la comunicacion.

10. Luego nos aparecera un cuadro en el cual especificaremos la llave precompartida.

-damos clic en siguiente y nos aparecera que ya hemos terminado la de crear la directiva:

-y le damos clic en finalizar.

11. Al darle clic en finalizar nos aparecerá un cuadro donde podemos agregar reglas para nuestra directiva. para no tener inconvenientes desactivamos la opcion de usar asistente para agregar (use add Wizard) que se encuentra en la parte inferior de la ventana y luego damos clic en agregar.

12. nos aparecera este cuadro el cual nos permite hacer un filtrado de ip (IP filter list) y le daremos clic en agregar.

13. luego de que le dimos clic en agregar nos aparecerá un recuadro en el cual le colocaremos el nombre ala regla de filtrado y tambien desactivamos el asistente (use add Wizard) luego de colocar el nombre le damos cilc en edit.

14. en esta ventana especificaremos desde que direccion ip origen hacia cual direccion ip destino y pasamos ala siguiente pestaña.

15. en esta pestaña especificaremos que protocolo vamos a utlizar:

-si queremos podemos colocarle descripcion ala regla.y para finalizar le damos clic en ok a todas las ventanas que nos aparescan.

16. despues escogemos la pestaña Filter action (accion de filtrado) y le damos clic en agregar

17. despues de darle add nos aparecera esta ventana en la cual podemos escoger los metodos de seguridad en este caso escogemos negociar la seguridad (negotiate security) y damos clic en agregar

18. luego de darle en add nos aparecera esta ventana en la cual escogemos la opcion personalizada esto es para personalizar el metodo de seguridad y le damos clic en configurarion.

19. nos aparecera una ventana en la cual escogemos los algoritmos que vamos a utilar puede ser SHA1 O MD5 tambien podemos escoger el algoritmo de encriptacion que puede ser 3DES.

-luego de escoger los algoritmos le damos clic en ok a todas las ventanas que nos aparescan.

20. luego pasamos ala pestaña metodos de autenticacion y le damos clic en agregar.

-luego de darle cilc en agregar nos aparecera una ventana en la cual escogeremos la ultima opcion y colocaremos la llave precompartida.

21. y ya para terminar le damos clic derecho sobre la politica y damos clic en asignar.

NOTA:para que esta politica funcione debe de haber la misma configuracion en los equipos donde se va a implementar esta regla.

esta fue una prueba de la politica. Esta politica es para que negocien seguridad cuando se hace un ping y tengan comunicacion segura

Imagenes sacadas de http://modseguridad.blogspot.com

HOW-TO SSH

2008-06-23T06:55:00.000-07:00

Existen herramientas que utilizan ssh para entrar en otros equipos, la que voy a utilizar en este how-to es la aplicacion libre Putty.

Colocamos en la parte de " hostname " el nombre del equipo o la direccion ip, al darle clic en open ingresamos y nos pedira login y password.

Configuracion de ssh en Linux:

1.Instalar SSH

-apt-get install ssh

2.Editamos el archivo de configuracion de ssh que es sshd_config.

- pico /etc/ssh/sshd_config

3.En el archivo de configuracion especificaremos en la linea:
-port 22
este es el puerto que viene por defecto y por el trabaja ssh pero si deseamos que trabaje por otro puerto lo podemos cambiar por otro puerto que este por encima de 1024. 4.Despues modificamos la linea permitRootLogin que es para permitir el acceso directo al usuario root es recomendable que esta opcion este en no esto es por seguridad y mas si se va a permitir el acceso de redes publicas.

-PermitRootLogin no

5.La linea x11Forwarding nos da la opcion de permitir o denegar la ejecucion remota de una interface grafica.

-x11Forwarding yes

6.Para que nuestro servidor pida una llave al ingresar el ususario debemos descomentar la linea:

-AuthorizedKeysFile /root/.ssh/authorized_keys

esa ruta es donde van a ir almacenadas las llaves publicas de los usuarios .

7.Despues debemos descomentar la linea PasswordAuthentication y cambiar de yes a no esto se hace para que no pida clave sino la llave del usuario

-PasswordAuthentication yes

8.Despues debemos copiar la llave del usuario que va a ingresar al servidor ssh en la ruta que le dimos en la linea AuthorizedKeysFile (la ruta es /root/.ssh/authorized_keys)

-cp /root/.ssh/id_dsa.pub /root/.ssh/authorized_keys

id_dsa.pub es la llave publica del usuario.

9.por ultimo reiniciaremos el servicio
-/etc/init.d/ssh restart

configuracion del cliente ssh

1.instalaremos el cliente ssh

-apt-get install ssh-client

2.Luego crearemos un par de llaves dsa del usuario

-ssh-keygen -t dsa

la llave privada se llama id_rsa y la publica id_rsa.pub

3.Despues copiamos la llave publica al archivo donde se alojan las llaves que es /root/.ssh/authorized_keys

--cp /root/.ssh/id_dsa.pub /root/.ssh/authorized_keys

4.Provaremos si la configuracion esta buena accediendo al servidor ssh
-ssh 10.3.8.154 (es la ip del servidor ssh)

en esta imagen nos muestra que ya ingresamos al servidor.

Analisis del trafico ssh

Acontinuacion veremos como es la conexion ssh cliente servidor

- El cliente hace una peticion ssh con un SYN al servidor
- El servidor le da respuesta con un SYN,ACK
- Vuelve a responder el cliente con un ACK
- El servidor responde arrojando datos del protocolo y del equipo.
- El cliente hace lo mismo, arroja informacion de su equipo y demas.
- Luego el cliente inicia el intercambio de llaves del servidor.
- El servidor responde con un ACK, y inicia en intercamo de llaves del servidor.
- Luego establecen un algoritmo de encriptacion, crean unas nuevas llaves para crear el tunel ssh y luego inicia una comunicacion encriptada

Para finalizar la conexion ssh el cliente le manda una peticion de FIN, ACK al servidor, el servidor le responde con otro FIN, ACK y el cliente le confirma con un ACK.

Imagenes tomadas del blog http://modseguridad.blogspot.com

CONFIGURACION DE UNA VPN CLIENTE-LAN en dispositivo 3com vpn firewall

2008-06-16T08:12:00.000-07:00

1. Ingresamos al menú de vpn.

2. despues seleccionamos la opcion l2tp que nos permitira la conexion entre el cliente y la lan cuando escojemos esta opcion nos apareceran varios cuadros en la parte inferio.

(A)El primer espacio nos aparece el ID del firewall por defecto ese lo dejaremos así para esta primera practica y en el segundo cuadro especificaremos que tipo de id tiene nuestro firewall que en este caso es una dirección IP.

(B)En este cuadro especificaremos la llave pre compartida durante la conexión y el nivel de encriptación.

(C)En este otro cuadro nos aparece el rango de direcciones IP que va entregar nuestro dispositivo al computador que se conecte por medio de la vpn.

3.Después le damos clic a la siguiente pestaña en encontraremos este cuadro al cual escogeremos la opción new.

4. Se nos abrirá un cuadro mas en el cual escogeremos la primera opción remote user acces después escogeremos el tipo de túnel que para este caso implemente l2tp la misma que pusimos en la primera pestaña después pondremos la descripción de la conexión y especificaremos el nombre de usuario y las contraseñas que serán los mismos que utilizara el usuario al momento de conectarse aplicamos y ya esta lista la configuración en nuestro dispositivo 3com vpn firewall.

configuracion del cliente

1.Primero que todo tenemos que crear una conexión nueva desde

Inicio

Panel de control

Conexiones de red

Asistente para una conexión nueva.

2. Nos saldrá un asistente para la configuración de nuestra vpn le damos siguiente.

3. En este cuadro nos aparece varias opciones de las cual escogeremos una que será la de conectarse a la red de mi lugar de trabajo por que esta opción es la que permitiría conectarnos desde nuestra casa a nuestro lugar de trabajo que es el fin de esta practica y después le damos siguiente.

4. En este cuadro escogeremos la forma de como nos conectaremos a nuestra red que en nuestro caso cera por medio de una vpn o red privada virtual.

5. En este cuadro nos pediría el nombre de la organización le podemos poner el nombre de la conexión o lo que usted quiera.

6. En este otro cuadro se nos pedirá la dirección privada de nuestro servidor vpn que es la que nos asigno el dhcp (figura 6 1 entrada).

7. En este cuadro nos pediría que especifiquemos si queremos que el uso de esta conexión sea para mi uso personal o para todos los que trabajen en este esta opción la escogerás según sea tus necesidades.

8. Aquí el asistente nos indica que la configuración de nuestra conexión ha finalizado.

9. Cuando finalizamos el asistente para la nueva conexión nos sale este cuadro que nos pedirá el nombre de usuario y la contraseña para podernos conectar a nuestra red privada pero antes de hacer esto tendremos que indicarle la llave pre compartida para hacer esto le damos clic a propiedades.

10. Después nos vamos a la pestaña seguridad y luego pulsamos la opción al final del cuadro que es configuración de ipsec en el cuadro que nos aparece le indicaremos la llave pre compartida que pusimos en nuestro dispositivo 3com (imagen 2 de esta entrada) le damos aceptar a este y al otro cuadro que nos apareció anterior mente.

11. Después de esto nos mostrara la conexión que acabamos de crear le damos clic derecho y después conectar.

12. Ahora si especificaremos el nombre de usuario y la contraseña que pusimos en nuestro dispositivo (imagen 4 de esta entrada) después le damos conectar.

13. Aquí nos muestra a que dirección se esta conectando.

14. Aquí nuestro computador se esta registrando en la red.

15. Aquí nos muestra la autenticación del equipo

16. Listo ya estamos conectados.

17. Aquí podemos ver la dirección que nos asigno el dispositivo y podremos observar que la dirección asignada corresponde al rango de direcciones que configuramos en nuestro dispositivo (figura2 de esta presentación).

18. y aquí podremos observar si la conexion vpn esta activa o no

Imagenes tomadas de http://marlon-evidencias.blogspot.com

Configuracion del Dispositivo 3com vpn firewall

2008-06-16T05:23:00.000-07:00

1.Para poder configurar el dispositivos debemos ingresar a un navegador y copiar la dirección ip de la interfaz lan del dispositivo en la barra de negación, si estamos utilizando un proxy debemos colocar la dirección ip en la parte de no usar proxy para las estas direcciones. para hacer esto le damos clic en herramientas, opciones, avansados, network, settings, No proxy for, y colocamos la ip.

continuación nos pedirá que ingresemos la clave del dispositivo que por default es admin.

2.cuando ingresamos la clave nos muestra el mensaje de Bienvenida y ya podemos empezar a configurar y nos aparecerán las siguientes opciones:

-welcome
-Network settings
-Advanced network
-Firewall
-Content Filtering
-VPN
-system tool
-status and logs
-support/feedback

3. en la opción network settings nos aparece las opciones para colocar las ips alas interfaces DSL, Lan y nos muestra la lista de los clientes DHCP:

-interfase DSL aqui colocamos la conflagración de nuestro isp (proveedor de internet)

-interfase LAN setting colocamos la conflagración de nuestra red lan y el rango del dhcp que queremos que le de a los clientes.

-DHCP clients list en esta pestaña nos aparece los clientes que se han conectado al dispositivo y que han solicitado dhcp

4.en la opción Advanced network nos aparece las opciones para enrutamiento como NAT,rutas estáticas, rutas dinamicas, dns dinamico y traffic shaping

-pestaña NAT network address translation y aqui nos aparece la opción por defecto que es (NAT Mode: One-to-many NAT (default) que significa que es una red a varias

-pestaña static routing en esta opción agregamos el id, el gateway y la mascara de la red la cual nos va a dar la salida a internet:

-Dynamic routing en esta parte podemos escoger el tipo de protocolo de enrutamiento que vamos a utilizar en la LAN y en la WAN. el dispositivo nos trae la opción de RIP (protocolo de encaminamiento de información)

-Dynamic DNS nos da la opción de habilitar un dns dinamico

-Traffic shapin esta opcion nos permite administrar el uso del ancho de banda y la velocidad de descarga.

5.Firewall en esta nos opcion nos permitira configurar las opciones de DMZ, PC privileges, special applications, advanced.

-en la opcion de Virtual servers nos permite publicar servicios de red en una zona desmilitarizada

-PC privileges en esta opción podemos darle o quitarle permisos de control de acceso a internet y alos servicios habilitados para los usuarios.

-Special Applications esta opcion nos permite dar le privilegios a diferentes aplicaciones o servicios de red.

-Advanced en esta pestaña podemos permitir o denegar los ping desde internet y configurar algunos parametros del firewall.

6.Content Filtering en esta parte podemos configurar content filtering, Allow/Block List, y Filter Police .

-Content filtering esta opcion nos permite habilitar el filtrado de paginas y colocar un mensaje que aparecera cada vez que el usuario intente ingresar a estas paginas filtradas.

-Allow/Block list esta opcion nos permitira colocar las paginas que deseamos filtrar.

-Filter police en esta podemos especificar a cuales equipo se le va a restringir o si es para todos los equipos de la red.

7.VPN en esta parte podemos configurar la opcion de vpn mode

-la opcion de vpn mode nos permite escojer el tipo de protocolo que vamos autilizar para conexion vpn el dispositivo tiene tres protocolos IPsec, L2TP, PPTP.
IPsec enable lo podemos utilizar para una conexion vpn gateway a gateway .
L2TP lo utilizamos para una conexion vpn remota.
y PPTP nos sirve tambien para una conexion remota pero nos brinda poca seguridad al momento de transmitir.

8.system tools en esta parte nos permite configurar las opciones Restart, time zone, Diagnostic tools, configuration, upgrade.

-Restart esta opcion nos permite reiniciar el dispositivo .

-time zone esta opcion nos permite colocar la zona y el tiempo de el pais.

-Diagnostic tools nos permite provar conexion y verificar que este funcionando correctamente, podemos hacer un ping, un trace route o un a resolucion de nombres desde el dispositivo.

-Configuration en esta parte podemos hacer un backup de la configuracion y recuperar nuevamente el backup.

-Upgrade desde esta opcion podemos actualizar o cambiar el firmware (sistema operativo del dispositivo) por uno mas actulizado.

9.Status and logs este menu nos permite observar el status, routing table,log settings, y log.

-status esta opcion nos muestra toda la configuracion del dispositivo y la version del sistema.

-routing table nos muestra la tabla de enrutamiento del dispositivo.

-Log settings en esta opcion configuramos el historial de los logs.

-logs en esta opcion podemos observar todos los logs del sistema

10.Support/Feedback

-support en esta opcion podemos observar la licencia del producto y otras opciones como soportes.

-Feedback encontramos un enlace de 3com y unas recomendaciones.

Imagenes tomadas de http://marlon-evidencias.blogspot.com

Dispositivo 3com VPN Firewall (parte 1)

2008-06-16T05:12:00.000-07:00

El dispositivo con que trabajamos es :

referencia: 3CR870-95
marca: 3com

Este es un dispositivo de red que tiene funciones de vpn, firewall, y filtrado de contenido como un proxy pero trabaja de forma transparente .

Disponibles servicios web de escaneo de vulnerabilidades en claves SSL y SSH

2008-06-09T04:54:00.000-07:00

La chapuza realizada por la gente de Debian fue muy gorda, pero sus consecuencias están aún por ver.

Las empresas de certificación que se han ofrecido a comprobar gratis los posibles certificados afectados no han tenido ningún éxito, lo que lleva a pensar que o bien todos los administradores conocen perfectamente el problema y son muy, pero que muy competentes, o bien que aún existen miles de sitios cuya seguridad pende de un hilo.

Por eso, la aparición de páginas web dirigidas a comprobar si las claves SSH o SSL de un sitio están afectadas representa un arma de doble filo, y el hecho de que cualquiera pueda comprobar con tanta comodidad la fortaleza de las claves de cualquier sitio sin mediar ningún tipo de autenticación no me permite ser muy optimista.

Un tímido aviso en el sentido de que se imponen severos límites al uso de los scripts para impedir abusos, no parece suficiente.

En cualquier caso no sirve de mucho esconder la cabeza o mirar hacia otro lado. Mejor saber que estas herramientas -y otras similares- existen y además están libremente disponibles.

Fuente: http://www.kriptopolis.org/disponible-escaneo-claves-ssh-ssl

Panda Security lanza una herramienta diseñada para detectar el malware oculto en los ordenadores

2008-06-03T05:10:00.001-07:00

Panda Security ha creado el nuevo scanner online ActiveScan 2.0, capaz de detectar el malware que ha sido capaz de burlar a otras soluciones de seguridad.

La causa de esta epidemia silenciosa reside en la nueva dinámica del malware, en la que los delincuentes ponen en circulación muchas nuevas amenazas diseñadas para instalarse de forma oculta a la espera de robar datos personales o confidenciales. Por ello, los laboratorios de seguridad tradicionales se ven desbordados y no pueden elaborar las vacunas necesarias para neutralizar a todas las nuevos códigos maliciosos que aparecen cada día. El resultado es que muchos ordenadores se infectan a cada momento sin que los usuarios lo sepan.

Dado que el modelo de antivirus tradicional ya no es suficiente, Panda Security ha desarrollado el nuevo ActiveScan 2.0 en base a un nuevo modelo de seguridad, denominado “Inteligencia Colectiva”, que le permite detectar mucho más malware que cualquier otra solución existente. Este nuevo sistema recoge y almacena de forma centralizada trazas de comportamiento de programas, rasgos de ficheros, nuevos ejemplares de malware recogidos de la comunidad, etc. A continuación, analiza y clasifica automáticamente las muestras correlacionando los datos recibidos de la comunidad con la amplia base de conocimiento de malware de PandaLabs.

De esta manera, ActiveScan 2.0 descubre las amenazas que puedan estar instaladas de forma oculta en el ordenador, incluyendo rootkits y troyanos diseñados para robar datos confidenciales y/o bancarios. Además, Panda ActiveScan 2.0 permite una fácil e inmediata desinfección de todo el malware que haya detectado.

Panda ActiveScan 2.0 es una extraordinaria herramienta de segunda opinión, ya que detecta todo el malware que la solución instalada en el sistema haya podido dejar escapar. Para ello, es compatible con cualquier programa antivirus disponible en el mercado, y puede ser utilizado con los navegadores Internet Explorer y Firefox.

Puede utilizar Panda ActiveScan 2.0 y comprobar gratuitamente la existencia de malware en su ordenador en la dirección http://www.infectedornot.com

Actualización de seguridad para varios productos Cisco

2008-06-03T05:04:00.000-07:00

Cisco ha reportado varios agujeros de seguridad en varios de sus productos que permite a un atacante tomar el control del sistema.

La causa del problema no ha sido especificada todavía por parte de Cisco, como viene siendo habitual, pero el agujero de seguridad se localiza en los servicios comunes de Cisco que pueden ser explotados a través de URL elaboradas.

Según Cisco, la vulnerabilidad existe en las versiones 3.0.3, 3.0.4, 3.0.5, 3.0.6, 3.1.1 y 3,1, que figuran en los siguientes productos:

Cisco Unified Operations Manager (CUOM) 1.1, 2.0, 2.0.1, 2.0.2 and 2.0.3
Cisco Unified Service Monitor (CUSM) 1.1, 2.0 and 2.0.1
CiscoWorks QoS Policy Manager (QPM) 4.0, 4.0.1 and 4.0.2
CiscoWorks LAN Management Solution (LMS) 2.5, 2.5.1, 2.6, 3.0, 3.1
Cisco Security Manager (CSM) 3.0, 3.0.1, 3.0.2, 3.1, 3.1.1 and 3.2
Cisco TelePresence Readiness Assessment Manager (CTRAM) 1.0

Además los productos Cisco Voice Manager (CVM) y Cisco Unified Contact Gestión inteligente (ICM) también pueden verse afectados por dicho fallo de seguridad.

Cisco está suministrando la nueva versión 3.2 de los Servicios Comunes en la que el error ha sido corregido, y ya esta disponible para la descarga para los clientes registrados.

HOW-TO OpenSSL

2008-05-29T09:56:00.001-07:00

Comenzaremos instalando una entidad certificadora:

1.Se instala openssl

#apt-get install openssl

2.Crear los siguientes directorios dentro de el directorio /etc/ssl/
certificadora/
certificadora/certs
certificadora/private
certificadora/newcerts
certificadora/crl
*”certificadora/” es un nombre de directorio que puede variar según el criterio de quien configure la entidad en contraste los subdirectorios de la misma deben tener los nombres señalados en este how-to.

#mkdir -p /etc/ssl/certificadora/certs
#cd etc/ssl/certificadora/
#mkdir private newcerts crl

3.luego de esto ingresamos al archivo de configuracion del openssl /etc/ssl/openssl.cnf

#pico /etc/ssl/openssl.cnf

4.en el archivo (/etc/ssl/openssl.cnf) encontraremos las siguientes lineas (los numeros en negrilla son el numero de cada linea en el archivo):

37 dir = /etc/ssl/certificadora
38 certs = /etc/ssl/certificadora/certs
39 crl_dir = /etc/ssl/certificadora/crl
40 database = /etc/ssl/certificadora/index.txt
43 new_certs_dir = /etc/ssl/certificadora/newcerts
45 certificate = /etc/ssl/certificadora/pub.crt
46 serial = /etc/ssl/certificadora/serial
50 private_key = /etc/ssl/certificadora/private/priv.key
68 default_days = 365 # dias en que caduca el certificado

5.Por ultimo generamos un certificado para nuestro CA (entidad certificadora).

#openssl req -nodes -new -keyout midominio.key -out midominio.csr

Luego lo firmamos

#openssl ca -out midominio.crt -in midominio.csr

Con esto tenemos lista la entidad certificadora y estamos listos para comenzar a firmar certificados.

Generar Certificados De Cliente:

El certificado se crea desde el equipo cliente de la siguiente manera

$openssl req -x509 -newkey rsa:2048 -keyout cakey.pem -days
365 -out cacert.pem

* Con este comando ademas de generar el certificado tambien generamos las llaves publica y privada del servidor, si ya tienes tus llaves omite la parte -newkey rsa:2048 de esta manera solamente generara el certificado.

solo falta enviarlo a la entidad certificadora nosotros para hacer esto utilizamos ssh:

$scp cacert.pem root@[aqui la ip de el CA]:/tmp

para hacer esto se necesita tener pasword de root, en caso de que no seas el adminisrtador de la entidad certificadora y no tengas contraseña de root por obvias razones puedes pasar tu certificado con otro usuario para esto le dises al administrador de el CA te cree un usuario y lo copias de la siguiente manera

ejemplo

$scp cacert.pem miuser@[aqui la ip de el CA]:/home/miuser

ya solo falta que la CA (entidad certificadora) firme el certificado (valga la redundancia) y nos devuelva el certificado ya firmado.

Firma De Certificados Por La Entidad Certificadora

Despues de generar los certificados como cliente es necesario que una entidad certificadora los firme.
El certificado que vamos a firmar es el mismo que generamos en el ejemplo anterior cacert.pem.

El comando para firmar es facil:

#openssl ca -out certfirmado.crt -in cacert.pem

La interpretacion tambien es sencilla, simplemente le dijimos a la entidad certificadora que tome el certificado cacert.pem, lo firme y lo exporte a un certificado nuevo en este caso llamado certfirmado.pem el cual seria el certificado ya firmado y el que habria que instalar en nuestro sitio web.

Integrar OpenSSL Con Un Servidor Web

Ahora solo queda integrar openSSL con nuestro servidor web, para la prueba utilizaremos apache 2.6 (obviaremos la instalacion y configuracion del apache asi que daremos por hecho que ya tienes configurado tu servidor web).

Teniendo en cuenta que ya tu servidor web esta corriendo y puedes acceder a el normalmente procederemos a agregarle la seguridad SSL, para esto agregamos las siguientes lineas en el archivo /etc/apache2/sites-available/default:

NameVirtualHost *:443
ServerAdmin sgarcia@misena.edu.co
DocumentRoot /var/www/
SSLEngine on
SSLCertificateFile /etc/ssl/certfirmado.crt [ruta del certificado firmado]
SSLCertificateKeyFile /etc/ssl/cakey.pem [ruta de la llave privada creada] anteriormente
ServerName mypage.mydomain.com
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all

Ahora debemos cargar los modulos de SSL en Apache

#a2enmod

Lo que sigue ahora es iniciar el Apache con SSL

#/etc/init.d/apache2 force-reload (Con este comando forzamos a Apache a cargar los modulos de SSL)

Ahora podemos proceder a probar si aun tenemos acceso normalmente a nuestro sitio web y notaran que se puede acceder tanto con HTTP como con HTTPS, pero al ingresar con este nos saca un aviso que nos dice que la pagina web solicitada tiene un certificado firmado por una entidad desconocida y pide autorizacion del usuario para ingresar.
Para que esto no suceda mas debemos instalar el certificado de la entidad certificadora en nuestro navegador.
En Mozilla Firefox se hace de la siguiente manera:
Editar
Preferencias
Avanzado
Cifrado
Ver certificados
Autoridades
Importar
Despues de esto podremos ingresar normalmente a la pagina con HTTPS.

© 2008, Stiven Garcia, Andres Uran, Andres Ruiz, Ferney Martinez
Este how-to Esta licenciado bajo los terminos de creative commons

SafeNet lanza una aplicación para encriptar las comunicaciones móviles

2008-05-27T06:20:00.000-07:00

SafeNet lanza un cliente VPN seguro para dispositivos móviles y calidad para
operadores. SoftRemote Mobile asegura las aplicaciones empresariales críticas y permite un ‘roaming’ fluido mediante MOBIKE

3GSM World Congress, BARCELONA, 15 de febrero de 2007 – SafeNet, (NASDAQ: SFNT), marcando el estándar de seguridad de la información, ha anunciado hoy la disponibilidad de SofRemote Mobile: un cliente VPN seguro para que los operadores de telecomunicaciones puedan asegurar las aplicaciones inalámbricas en dispositivos móviles. SoftRemote Mobile es una aplicación cliente VPN configurable y lista para ser utilizada, que permite a los operadores y a los fabricantes de dispositivos móviles ofrecer a sus clientes corporativos servicios VPN seguros, así como funcionalidades de roaming MOBIKE. Su probada interoperatividad con el VPN Consortium también convierte el SoftRemote Mobile en la ideal solución VPN móvil para clientes empresariales que quieran ofrecer a sus ejecutivos y empleados móviles un acceso seguro a aplicaciones y datos empresariales críticos.

Basado en la popular y fiable versión 11.0 de la familia de productos de SoftRemote, SoftRemote Mobile protege las comunicaciones críticas de las empresas, proporcionando una gran seguridad a distintas aplicaciones móviles, como el correo electrónico, la Voz IP y el acceso remoto a las aplicaciones empresariales. Al soportar MOBIKE, permite que los usuarios móviles puedan pasar fácilmente de una red IP -como las redes de datos GPRS, EDGE o 3G-, a otra red tipo WLAN sin perder la conexión VPN segura. Estas capacidades de roaming son un requerimiento esencial para la convergencia entre entornos móviles y fijos, como UMA e IMS. SoftRemote Mobile es compatible con las plataformas móviles más populares, incluyendo Windows Mobile 5 y el inminente lanzamiento de Windows Mobile, cuyo nombre en clave se conoce como Crossbow.

“La evolución de las redes IP permite que los operadores móviles ofrezcan una solución VPN segura a sus usuarios corporativos”, dice Bill Anderson, vicepresidente de productos de cifrado de SafeNet: “Somos los primeros en el mercado con un solución VPN IPSec lista para que los operadores puedan ofrecer servicios de VPN móvil segura y con un alto valor añadido”.

Demostración de productos en el 3GSM
La familia de productos SoftRemote de SafeNet constituye el estándar de facto en materia de software cliente para VPN, con millones de usuarios en todo el mundo. El stand de SafeNet (2G02) en el 3GSM de Barcelona será el escenario elegido por la compañía para realizar sus demostraciones del SoftRemote Mobile. Las demostraciones permitirán experimentar en primera persona las funcionalidades de seguridad únicas en distintos escenarios reales, como el establecimiento de una llamada VoIP segura, la itinerancia entre de redes inalámbricas LAN con MOBIKE, y el envío de emails confidenciales a través de una conexión VPN segura.

Características de la seguridad móvil
SoftRemote Mobile proporciona la más robusta autentificación, confidencialidad e integridad de datos VPN cliente-cliente y cliente-pasarela, valiéndose de los últimos estándares en autentificación y cifrado IPSec. Totalmente operativo con cualquier pasarela IPSec, este pequeño hito del cliente VPN móvil se caracteriza por disponer de IKEv2 y MOBIKE, la última incorporación en materia de multihoming y movilidad al protocolo IKE especificado por IETF. Otros protocolos de seguridad que soporta son: AES, DES, 3DES, MD5 Y SHA. El SoftRemote Mobile también soporta infraestructura por clave pública para una mayor protección, incluyendo certificados digitales líderes como los de VeriSign, Entrust, Microsoft y Netscape.

Potente gestor de políticas
SoftRemote Mobile permite a los administradores configurar fácilmente las políticas de seguridad y gestionar los certificados. Los intuitivos menús de configuración permiten a los administradores distribuir masivamente las políticas de configuración de los clientes VPN sin involucrar a ningún usuario. SoftRemote Mobile también incluye poderosas funcionalidades de administración que hacen más fácil la configuración de la política de accesos y diagnostico de conexiones, incluyendo la gestión de certificados, edición de políticas de seguridad, seguimiento y monitorización de conexiones, así como la visualización de los accesos.

Dispositivos móviles para OEM, operadores y usuarios empresariales
La licencia de uso de SoftRemote Mobile se puede obtener a través de los fabricantes de móviles y operadores, que proporcionan a sus clientes un móvil con seguridad VPN y fácilmente configurable. SoftRemote Mobile también está disponible como aplicación cliente VPN, lista para que los clientes corporativos la puedan usar. Los actuales clientes de SoftRemote se pueden beneficiar de las ofertas especiales de actualización del servicio.

Sistemas de seguridad integrados para OEMs
SafeNet es proveedor de sistemas de seguridad que permite a los desarrolladores OEMs integrar robustos sistemas de seguridad en los productos de red, reduciendo los costes y el tiempo necesario para que el producto llegue al mercado. Los premiados sistemas de seguridad de SafeNet son implementados por las empresas líderes en telecomunicaciones, redes y por los vendedores de semiconductores, que confían en las mejores soluciones de seguridad para la siguiente generación de productos de red. Algunos de los clientes OEM de SafeNet son: Nokia, Ericsson, NEC, AMCC, AMD, Azaire Networks, Cisco, Hitachi, HP, Juniper Networks, PMC-Sierra, Lucent Technologies, Nortel, Siemens, Samsung, y Texas Instruments.

Enlaces
SoftRemote Mobile: http://www.safenet-inc.com/SoftRemote

IPsec

2008-05-21T05:29:00.000-07:00

IPsec es una extensión al protocolo IP que proporciona seguridad a IP y a los protocolos de capas superiores. Fue desarrollado para el nuevo estándar IPv6 y después fue portado a IPv4.

IPsec emplea dos protocolos diferentes - AH y ESP - para asegurarla autenticación, integridad y confidencialidad de la comunicación.
Puede proteger el datagrama IP completo o sólo los protocolos de capas superiores.
Estos modos se denominan, respectivamente, módo túnel y modo transporte.
En modo túnel el datagrama IP se encapsula completamente dentro de un nuevo datagrama IP que emplea el protocolo IPsec.
En modo transporte IPsec sólo maneja la carga del datagrama IP, insertándose la cabecera IPsec entre la cabecera IP y la cabecera del protocolo de capas suepriores.

Para proteger la integridad de los datagramas IP, los protocolos IPsec emplean códigos de autenticación de mensaje basados en resúmenes (HMAC - Hash Message Authentication Codes). Para el cálculo de estos HMAC los protocolos HMAC emplean algoritmos de resumen como MD5 y SHA para calcular un resumen basado en una clave secreta y en los contenidos del datagrama IP. El HMAC se incluye en la cabecera del protocolo IPsec y el receptor del paquete puede comprobar el HMAC si tiene acceso a la clave secreta.

Para proteger la confidencialidad de lo datagramas IP, los protocolos IPsec emplean algoritmos estándar de cifrado simétrico. El estándar IPsec exige la implementación de NULL y DES. En la actualidad se suelen emplear algoritmos más fuertes: 3DES, AES y Blowfish.

Para protegerse contra ataques por denegación de servicio, los protocolos IPsec emplean ventanas deslizantes. Cada paquete recibe un número de secuencia y sólo se acepta su recepción si el número de paquete se encuentra dentro de la ventana o es posterior. Los paquetes anteriores son descartados inmediatamente. Esta es una medida de protección eficaz contra ataques por repetición de mensajes en los que el atacante almacena los paquetes originales y los reproduce posteriormente.

Para que los participantes de una comunicación puedan encapsular y desencapsular los paquetes IPsec, se necesitan mecanismos para almacenar las claves secretas, algoritmos y direcciones IP involucradas en la comunicación. Todos estos parámetros se almacenan en asociaciones de seguridad (SA - Security Associations). Las asociaciones de seguridad, a su vez, se almacenan en bases de datos de asociaciones de seguridad (SAD - Security Asocciation Databases).

Las asociaciones de seguridad sólo especifican cómo se supone que IPsec protegerá el tráfico. Para definir qué tráfico proteger, y cuándo hacerlo, se necesita información adicional. Esta información se almacena en la política de seguridad (SP - Security Policy), que a su vez se almacena en la base de datos de políticas de seguridad (SPD - Security Policy Database).

Una política de seguridad suele especificar los siguientes parámetros:

Direcciones de origen y destino de los paquetes por proteger. En modo transportes estas serán las mismas direcciones que en la SA. En modo túnel pueden ser distintas.
Protocolos y puertos a proteger. Algunas implementaciones no permiten la definición de protocolos específicos a proteger. En este caso, se protege todo el tráfico entre las direcciones IP indicadas.
La asociación de seguridad a emplear para proteger los paquetes.

La configuración manual de la asociación de seguridad es proclive a errores, y no es muy segura. Las claves secretas y algoritmos de cifrado deben compartirse entre todos los participantes de la VPN. Uno de los problemas críticos a los que se enfrenta el administrador de sistemas es el intercambio de claves: ¿cómo intercambiar claves simétricas cuando aún no se ha establecido ningún tipo de cifrado?

Para resolver este problema se desarrolló el protocolo de intercambio de claves por Internet (IKE - Internet Key Exchange Protocol). Este protocolo autentica a los participantes en una primera fase. En una segunda fase se negocian las asociaciones de seguridad y se escogen las claves secretas simétricas a través de un intercambio de claves Diffie Hellmann. El protocolo IKE se ocupa incluso de renovar periódicamente las claves para asegurar su confidencialidad.

AH - Cabecera de autenticación

El protocolo AH protege la integridad del datagrama IP. Para conseguirlo, el protocolo AH calcula una HMAC basada en la clave secreta, el contenido del paquete y las partes inmutables de la cabecera IP (como son las direcciones IP). Tras esto, añade la cabecera AH al paquete.

ESP - Carga de Seguridad Encapsulada

El protocolo ESP puede asegurar la integridad del paquete empleando una HMAC y la confidencialidad empleando cifrado. La cabecera ESP se genera y añade al paquete tras cifrarlo y calcular su HMAC.

El protocolo IKE

El protocolo IKE resuelve el problema más importante del establecimiento de comunicaciones seguras: la autenticación de los participantes y el intercambio de claves simétricas. Tras ello, crea las asociaciones de seguridad y rellena la SAD. El protocolo IKE suele implementarse a través de servidores de espacio de usuario, y no suele implementarse en el sistema operativo. El protocolo IKE emplea el puerto 500 UDP para su comunicación.

El protocolo IKE funciona en dos fases. La primera fase establece un ISAKMP SA (Internet Security Association Key Management Security Association - Asociación de seguridad del protocolo de gestión de claves de asociaciones de seguridad en Internet). En la segunda fase, el ISAKMP SA se emplea para negociar y establecer las SAs de IPsec.

La autenticación de los participantes en la primera fase suele basarse en claves compartidas con anterioridad (PSK - Pre-shared keys), claves RSA y certificados X.509 (racoon puede realizar esta autenticación incluso mediante Kerberos).

La primera fase suele soportar dos modos distintos: modo principal y modo agresivo. Ambos modos autentican al participante en la comunicación y establecen un ISAKMP SA, pero el modo agresivo sólo usa la mitad de mensajes para alcanzar su objetivo. Esto, sin embargo, tiene sus desventajas, ya que el modo agresivo no soporta la protección de identidades y, por lo tanto, es susceptible a un ataque man-in-the-middle (por escucha y repetición de mensajes en un nodo intermedio) si se emplea junto a claves compartidas con anterioridad (PSK). Pero sin embargo este es el único objetivo del modo agresivo, ya que los mecanismos internos del modo principal no permiten el uso de distintas claves compartidas con anterioridad con participantes desconocidos. El modo agresivo no permite la protección de identidades y transmite la identidad del cliente en claro. Por lo tanto, los participantes de la comunicación se conocen antes de que la autenticación se lleve a cabo, y se pueden emplear distintas claves pre-compartidas con distintos comunicantes.

En la segunda fase, el protocolo IKE intercambia propuestas de asociaciones de seguridad y negocia asociaciones de seguridad basándose en la ISAKMP SA. La ISAKMP SA proporciona autenticación para protegerse de ataques man-in-the-middle. Esta segunda fase emplea el modo rápido.

Normalmente, dos participants de la comunicación sólo negocian una ISAKMP SA, que se emplea para negociar varias (al menos dos) IPsec SAs unidireccionales.

OpenSSL ya no es tan seguro...

2008-05-21T05:24:00.000-07:00

Generalmente las direcciones de páginas Web que utilizan conexiones SSL, comienzan con ‘https:’ en lugar del estándar ‘http:’. Cuando visitamos un sitio protegido por SSL, un pequeño candado suele ser mostrado en la parte inferior del navegador.

Investigadores suizos, han demostrado sin embargo, que es posible descubrir en menos de una hora la contraseña utilizada por cualquier visitante al conectarse a un sitio Web de venta comercial o cuenta de correo electrónico.

Esta vulnerabilidad en el software OpenSSL, podría haber permanecido mucho tiempo sin ser descubierta. Sin embargo, una vez conocida, es muy fácil implementar algún exploit que se aproveche de ella.

"Somos los primeros en haber descubierto esta vulnerabilidad en el protocolo SSL, el procedimiento de seguridad utilizado más habitualmente para las transacciones a través de Internet", afirmó en un comunicado el director del laboratorio de seguridad y criptografía de la Escuela Politécnica Federal de Lausana (EPFL), Serge Vaudenay.

El OpenSSL group, ya tiene disponible una nueva versión del software (la 0.9.7a), la cuál soluciona esta falla.

"Concretamente hemos desarrollado un programa que nos permite interceptar la contraseña de una persona utilizando un programa de comunicación segura por SSL", explicó Vaudenay. Los científicos se conectaron al programa haciéndose pasar por el usuario. Así, pueden leer los correos electrónicos o realizar transacciones financieras en su nombre.

Sin embargo, también aclaran que esta falla no se aplica a transacciones con tarjetas de crédito, ya que los bancos y sitios que manejan comercio electrónico, suelen utilizar un tipo diferente de tecnología basada en protocolos SSL, afirman los investigadores que descubrieron la falla.

Se utilizan varios tipos de algoritmos en la tecnología SSL para manejar información codificada. El tipo de protocolo vulnerable, es el utilizado generalmente en opciones de Webmail (correo electrónico vía Web, al estilo de Hotmail por ejemplo).

La solución pasa por la actualización a la versión OpenSSL 0.9.7a.

SSL (Secure Sockets Layer)

2008-05-21T05:15:00.000-07:00

https://www.

El protocolo SSL permite la autenticación de servidores, la codificación de datos y la integridad de los mensajes.

Con SSL tanto en el cliente como en el servidor, sus comunicaciones en Internet serán transmitidas en formato codificado. De esta manera, puede confiar en que la información que envíe llegará de manera privada y no adulterada al servidor que usted especifique.

Los servidores seguros suministran la autenticación del servidor empleando certificados digitales firmados emitidos por organizaciones llamadas "Autoridades del certificado".

Un certificado digital verifica la conexión entre la clave de un servidor público y la identificación del servidor.

Las verificaciones criptográficas, mediante firmas digitales, garantizan que la información dentro del certificado sea de confianza.

OpenSSL( http://www.openssl.org/ )

Es un proyecto de software desarrollado por los miembros de la comunidad Open Source para libre descarga y está basado en SSLeay desarrollado por Eric Young y Tim Hudson.

Consiste en un robusto paquete de herramientas de administración y librerías relacionadas con la criptografía, que suministran funciones criptográficas a otros paquetes como OpenSSH y navegadores web (para acceso seguro a sitios HTTPS). Estas herramientas ayudan al sistema a implementar el Secure Sockets Layer (SSL), así como otros protocolos relacionados con la seguridad , como el Transport Layer Security (TLS).

Este paquete de software es importante para cualquiera que esté planeando usar cierto nivel de seguridad en su máquina con un sistema operativo Libre basado en GNU/Linux. OpenSSL también nos permite crear certificados digitales que podremos aplicar a nuestro servidor, por ejemplo Apache.

SSH (Secure SHell)

2008-05-21T04:33:00.000-07:00

SSH es el nombre de un protocolo y del programa que lo implementa.

La primera versión del protocolo y el programa fueron creados por el sueco Tatu Ylönen y era libre; luego su licencia cambió, apareciendo la empresa "SSH Communications Security"; esta lo ofrece gratuitamente para uso doméstico y académico, pero exige el pago a empresas.

Al igual que el telnet (que dejó de usarse), se emplea para acceder a máquinas a través de una red.

La principal ventaja con respecto a telnet, es que la información viaja cifrada y no es posible descubrir el nombre de usuario ni contraseña. Permite conectarse tipo terminal (sólo texto, sin gráficos) al otro ordenador.

OpenSSH (Open Secure Shell)

OpenSSH es una versión LIBRE del paquete de herramientas de comunicación segura del protocolo SSH/SecSH para redes, una solución de seguridad que está ganando la confianza de un número cada vez mayor de usuarios de Internet. Muchos usuarios de telnet, rlogin, ftp y otros programas parecidos, no se dan cuenta que sus contraseñas se están transmitiendo sin cifrar a través de la red. OpenSSH cifra todo el tráfico (incluidas las contraseñas) para eliminar de un modo efectivo las «escuchas», los secuestros de las conexiones y otros ataques a nivel de red. Además, OpenSSH ofrece amplias posiblidades para la creación de túneles seguros, aparte de una variedad de métodos de autenticación.

En el sistema operativo OpenBSD se encuentran integrados los programas ssh, que substituye a rlogin y telnet, scp, que substituye a rcp, y sftp que substituye a ftp. También están incluidos sshd, que es el programa servidor del paquete, y otras utilidades básicas como ssh-add, ssh-agent, ssh-keysign, ssh-keyscan, ssh-keygen y sftp-server. OpenSSH dispone de soporte para las versiones 1.3, 1.5, y 2.0 del protocolo SSH.

OpenSSH es un proyecto desarrollado principalmente por el Proyecto OpenBSD, y su primera integración en un sistema operativo fue en OpenBSD 2.6. Estos programas se desarrollan fuera de los EE.UU., usando código desarrollado en unos 10 países distintos. Este código es de libre utilización bajo la licencia BSD.

COMENTARIOS FLISOL 2008

2008-04-28T06:41:00.000-07:00

El evento como tal estuvo muy atractivo para los seguidores del software libre ya que conto con un buen material en expocision y para los nuevos en el area fue como un incentivo a empezar a utilizar este tipo de software. El evento tuvo muy buena acojida ya que huvo muy buena asistencia de personal no referente al tema de software libre que querian conocer o ampliar mas sobre este tema. En lo personal me parece que falto mas apoyo en la parte de logistica ya que las personas encargadas de estas actividades no eran suficientes y la gente no sabia donde quedaban las areas donde eran las expocisiones, las conferencias. Me parece que falto como mas apoyo en esta parte

GPG ( GNU Privacy Guard )

2008-04-28T06:25:00.000-07:00

GPG o GNU Privacy Guard es una herramienta para cifrado y firmas digitales, que viene a ser un reemplazo del PGP (Pretty Good Privacy) pero con la principal diferencia que es software libre licenciado bajo la GPL. GPG utiliza el estandar del IETF denominado OpenPGP.

Usos de GPG

GPG es estable, calificado como un software para el uso en producción y es comúnmente incluido en los sistemas operativos como FreeBSD, OpenBSD, NetBSD y últimamente con todas las distribuciones GNU/Linux.

Aunque básicamente el programa tiene una interfaz textual actualmente hay varias aplicaciones gráficas que utilizan recursos de GPG, por ejemplo ha sido integrado dentro del Kmail y Evolution, también hay un plugin llamado Enigmail que se integra con Mozilla y Thunderbird que trabajan en Windows, GNU/Linux y otros sistemas operativos.

Como trabaja GPG

GPG cifra los mensajes usando pares de claves individuales asimétricas generadas por los usuarios. Las claves públicas pueden ser compartidas con otros usuarios de muchas maneras, un ejemplo de ello es depositándolas en los servidores de claves. Siempre deben ser compartidas cuidadosamente para prevenir falsas identidades por la corrupción de las claves públicas. También es posible añadir una firma digital criptográfica a un mensaje, de esta manera la totalidad del mensaje y el remitente pueden ser verificados en caso de que se desconfíe de una correspondencia en particular.

CRIPTOGRAFIA

2008-04-28T04:33:00.000-07:00

Diseño de procedimientos para cifrar los mensajes, de forma que si son interceptados, no se pueda saber su contenido.

Algoritmo Simétrico

Los algoritmos criptográficos simétricos utilizan la misma llave para cifrar y descifrar datos, o bien la llave para descifrar es calculada muy fácilmente de la llave de cifrado. Estos algoritmos también son conocidos como algoritmos de: llave secreta (secret key), llave privada (private key), una llave (one key) y única llave (single key).

Estos algoritmos pueden dividirse en dos grandes grupos: algoritmos en bloque (block ciphers) y algoritmos en flujo (stream ciphers).

Algoritmos de cifrado asimétricos

Los algoritmos de cifrado simétricos son muy veloces, pero poseen un problema: es muy difícil distribuir la llave. Para que dos personas puedan enviarse mensajes de forma segura utilizando un sistema de cifrado simétrico, ambas deben intercambiar llaves de cifrado para poder cifrar y descifrar sus mensajes.

Esto introduce un riesgo, ya que si la llave es interceptada, se pierde la confidencialidad de los mensajes transmitidos. Este problema es resuelto con los algoritmos criptográficos asimétricos o de llave pública.Los algoritmos asimétricos están formados por dos tipos de llaves: una pública y otra privada. La llave pública es utilizada para cifrar mensajes y es generalmente distribuida (por eso se la llama llave pública), mientras que la llave privada es utilizada para descifrar los mensajes cifrados con la llave pública. Lo más importante es que es meramente imposible obtener una llave privada de una llave pública, haciendo imprescindible que la llave privada sea guardada de forma segura.

SQUID

2008-04-02T09:13:00.001-07:00

Ejercicio

Politicas de seguridad

Restringir el uso de Internet

1. Crear listas negras (archivos) para bloquear los siguientes contenidos.

Porno ---> para cada categoria se debe crear una lista negra. Cada archivo tendra
Chat al menos dos registros
Correos
Deportes
Descargas
Juegos

2. Bloquear a todos los usuarios en la red la navegacion de los usuarios en las listas negras.

3. Bloquear a todos los usuarios las descargas y reproduccion de archivos .exe .mp3 .mpg .wav .iso .zip .rar.

4. La navegacion debe restringirse a horarios locales de lunes a viernes de 8 a 12 am y de 1 a 4:30 pm.

5. Existe un usuario sin ninguna restriccion 10.3.6.208.

6. Los usuarios de la red pueden acceder a paginas de correo gratuito y chat solamente en el horario del almuerzo --> 12:00-13:00.

7. Configurar su maquina para que trabaje como proxy-transparente.

SOLUCION

http_port 3128 transparent

visible_hostname (el nombre de la maquina)
icp_port 0
cache_mem ( el tamaño que le quiera dar a la cache)
cache_dir ufs /var/spool/squid 100 16 256
cache_peer proxylan.sena.edu.co parent 8080 0 default

acl profe src 10.3.6.248
acl Hora1 time MTWHF 08:00-12:00
acl Hora2 time MTWHF 13:00-16:30
acl ficheros urlpath_regex -i "/etc/squid/acl/ficheros.acl"
acl porno url_regex "/etc/squid/acl/porno.acl"
acl chat url_regex "/etc/squid/acl/chat_correos.acl"
acl descarga url_regex "/etc/squid/acl/descargas.acl"
acl sitios-web dstdomain "/etc/squid/acl/sitios-web.acl"
acl deporte url_regex "/etc/squid/acl/deportes.acl"
acl juegos url_regex "/etc/squid/acl/juegos.acl"
acl correos_gratuitos url_regex "/etc/squid/acl/correos_gratuitos.acl"
acl almuerzo time MTWHF 12:00-13:00
acl all src 0.0.0.0/0.0.0.0
acl localnet src 10.3.6.128/255.255.255.128

http_access allow profe
http_access allow localnet almuerzo correos_gratuitos
http_access deny sitios-web
http_access deny ficheros
http_access deny porno
http_access deny chat
http_access deny descarga
http_access deny deporte
http_access deny juegos
http_access allow localnet Hora1
http_access allow localnet Hora2
http_access deny all

# SE DEBE CONFIGURAR LA TABLA NAT PARA QUE EL PROXY QUEDE COMO TRANSPARENTE:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

¿ QUE ES UN PROXY ?

2008-03-11T06:15:00.000-07:00

Un servidor proxy es un equipo intermediario situado entre el sistema del usuario e Internet. Puede utilizarse para registrar el uso de Internet y también para bloquear el acceso a una sede Web.

El servidor de seguridad del servidor proxy bloquea algunas sedes o páginas Web por diversas razones.

Un proxy es utilizado para interceptar la navegación de páginas web por motivos de seguridad, anonimato, rendimiento, etc.

* Navegación anónima: si el proxy está configurado de esta manera, todo aquel que navegue a través de ese proxy lo hará de forma anónima, las páginas destino no podrán saber la dirección IP (la identificación) de la computadora que navega; sólo verán la dirección IP del proxy. Si un proxy no está configurado para ser anónimo se dice que es de navegación transparente.

* Navegación segura: un proxy se encarga de filtrar o alertar sobre aquellas páginas web inseguras o filtran el contenido para indeseado (como contenido adulto).

* Navegación más rápida: ya sea porque el proxy tiene una mejor conexión a internet y envía al navegador más rápido los datos, o porque el proxy funciona como caché, guardando las páginas más visitadas (o las visitadas recientemente).

* Control del tráfico: existen programas espías y otros malwares que configuran la computadora para que todo el tráfico web pase primero por un proxy. Este proxy se encarga de espiar el tráfico, pudiendo sacar todo tipo de información del usuario. Si los datos (como claves y tarjetas de crédito) no están cifrados, cualquiera puede leerlos. Este tipo de proxy también puede enviar publicidad a las computadoras infectadas (publicidad que no exite en las páginas web originales).

IPTABLES

2008-03-03T04:33:00.000-08:00

Iptables : Es una aplicación en linea de comandos que gestiona el filtrado de paquetes en sistemas Linux (kernels 2.4.x), en base a las reglas que hayamos definido. Iptables es mucho más potente que su antecesor Ipchains (kernels 2.2.x).

La estructura de Iptables es básicamente una cola : cuando un paquete llega, este es validado contra cada una de las reglas del firewall, en el momento que alguna regla casa (match) , se ejecuta la acción que haya sido definida en la regla (descartar el paquete, acceptarlo, enrutarlo, etc).

La estructura de un comando iptables es la siguiente :

iptables -t [tabla] -[AIRDLFZNXP] [regla] [criterio] -j [acción]

Vamos a ver que es cada cosa :

-t [tabla] : Esta parte del comando especifica cual es la tabla en la que queremos añadir la regla. Existen 3 tipos de tablas válidas : nat, filter y mangle, siendo filter la tabla por defecto si se omite esta parte del comando. Nat se refiere a las conexiones que serán modificadas por el firewall, como por ejemplo, enmascarar conexiones, realizar redirecciones de puertos, etc. Filter es la tabla donde se añaden las relacionadas con el filtrado. Mangle tambien modifica paquetes pero, a diferencia de Nat, es mucho mas potente. Con Mangle podemos modificar cualquier aspecto del paquete (flags, TTL, etc).

-[AIRDLFZNXP] [regla] : Hay 4 opciones básicas con las que se puede jugar en esta apartado del comando. Estas opciones básicas son las siguientes :

· A : Es para añadir (Append) una regla. Reglas válidas son INPUT, FORWARD y OUTPUT.

· L : Es para listar las reglas.

· F : Es para borrar todas las reglas o en el caso de INPUT, FORWARD o OUTPUT seán dados como argumento se borraran las reglas asociadas solo a esa clase.

· P : Establece la politica por defecto del firewall. Por defecto es aceptar todas las conexiones.

[criterio] : Aqui es donde se especificarán las características del tipo de paquete que casará con esta regla. Para establecer reglas sencillas (reglas stateless), podemos operar con las siguientes opciones : -s (ip/red fuente), -d (ip/red destino), --sport (puerto fuente), --dport (puerto destino), y -p (protocolo). Un ejemplo de comando de la sintaxis de un ocmando iptables sencillo podría ser este (la parte en que se define el criterio de la regla está en negrita) :

iptables -A FORWARD -p [protocolo] -s [ip/red fuente] --sport [puerto fuente] -d [ip/red destino] --dport [puerto destino] -j DROP

-j [action] : Aqui establecemos que es lo que hay que hacer con el paquete. Las posibles opciones son : ACCEPT, REJECT, DROP, REDIRECT, LOG (existén más, pero estas son las básicas).

ACCEPT : Aceptará el paquete.

REJECT o DROP : Lo desecharán, la direncia entre ellos reside en que DROP descartará el paquete silenciosamente y REJECT emitirá un paquete ICMP Port Unreachable, indicando que está cerrado.

REDIRECT : Redirigirá el paquete a donde se indique en el criterio del comando y por último...

LOG : Lo logeará para su posterior análisis

IceWeasel: La versión libre de Firefox

2008-02-29T03:50:00.000-08:00

Ya saben las razones de por qué Debian se peleó con Mozilla. Es que las marcas registradas de Firefox no iban de acuerdo a la política “100% libre” de los debianeros puristas. Lo más insólito es que todo partió por un mísero logo.

Bueno, tal como lo habían prometido, el proyecto GNU sacó su propia versión (100% libre) del suite Mozilla y de Firefox, esta vez con logo propio. Respectivamente, GnuZilla y IceWeasel una clara mofa hacia el nombre original (porque Hielo no es Fuego y Comadreja no es Zorro). Mientras algunos apoyan la iniciativa, otros la destruyen por completo, arguyendo que IceWeasel, concretamente, no es más que Firefox con otro nombre y par de pequeñas correcciones.

La historia de los cambios de nombre de Firefox no empieza aquí, sino que en su corta vida ya ha pasado por muchas transiciones. No sé qué pensáis vosotros, pero esto parece un síntoma crónico, y huele mucho a cachondeo. De hecho, hay personas que se lo toman con mucho humor y hasta hay una extensión que cambia el nombre del navegador cada vez que lo inicias.

Conceptos de Analisis de Riesgo

2008-02-27T07:48:00.000-08:00

Activo: Es cualquier "cosa" que tiene valor para la empresa.

Valor: Es la importancia que tiene ese activo dentro de la empresa.

Amenaza: Es aquél elemento que puede provocar daños sobre el activo.

Probabilidad de ocurrencia de la amenaza: Es la probabilidad de que la amenaza se materialice.

Vulnerabilidad: Es el grado de debilidad de un activo frente a una amenaza.

Exposición: Es la medida de la vulnerabilidad, lo desprotegido que está.

Incidente: La materialización efectiva de la amenaza, aprovechando la vulnerabilidad.

Degradación: Es un término que utilizan algunas metodologías para referirse al potencial que tiene la amenaza de dañar al actiivo.

Impacto: Es el resultado de que se produzca el incidente. En definitiva.

Riesgo o nivel de riesgo: Es el resultado de combinar todos los términos anteriores. Para ser más claros, la probabilidad de que una amenaza aproveche la vulnerabilidad del activo para provocar un daño.

Controles o contramedidas: Medidas dispuestas para rebajar el nivel de riesgo.

.

Metodologías y Mejores Prácticas

2008-02-27T07:32:00.001-08:00

Para llevar a cabo el proceso de análisis del riesgo, existen diversas metodologías que son utilizadas, entre algunas de las más importante se puede mencionar a:

- MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información). Elaborada por el Consejo Superior de Administración Electrónica de España, es una metodología de carácter público, perteneciente al Ministerio de Administraciones Públicas [6]. Tiene como objetivo estudiar los riesgos que soporta un sistema de información y el entorno asociado a él. Está conformada por una serie de técnicas específicas para el análisis de riesgos, análisis mediante tablas, análisis algorítmico, árboles de ataque, técnicas generales, análisis costo-beneficio, entre otros.

Más información http://www.csi.map.es/csi/pg5m20.htm

- EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité - Expresión de las Necesidades e Identificación de los Objetivos de Seguridad). Es promovido por la Dirección Central de Seguridad de Sistemas de Información (DCSSI-Francia) como norma internacional. Es un software de asistencia bajo licencia libre. Su enfoque simple y modular le permite adaptarse a todos los contextos y a distintas acciones de seguridad. Permite apreciar y tratar los riesgos relativos a la seguridad de los sistemas de información (SSI).

Más información http://www.ssi.gouv.fr/fr/index.html

- OSSTMM (Open Source Security Testing Methodology Manual). Manual de metodología Abierta de Testeo de Seguridad es una metodología para realizar análisis de vulnerabilidad que está basada en entregar resultados cuantificables y que ha sido desarrollada dentro de un proyecto de comunidad Open Source. Es la respuesta cuando un analista de seguridad informática se pregunta por dónde empezar, qué y cómo analizar, cómo presentar los resultados.

Más información http://isecom.securenetltd.com/OSSTMM.es.2.1.pdf

- OWASP (Open Web Application Security Project). Es un organismo sin ánimo de lucro creado en Estados Unidos y que cuenta con más de 60 capítulos locales repartidos en todo el mundo. Su objetivo es ayudar a las empresas a entender y mejorar la seguridad de sus aplicaciones y servicios Web. El proyecto crea documentación, herramientas y estándares Open Source sobre seguridad en Aplicaciones Web gracias a expertos de la comunidad internacional que, de forma voluntaria, colaboran en los distintos proyecto.

Más información http://www.owasp.org/index.php/Main_Page

Enfoque cuantitativo de análisis de riesgos

Este enfoque emplea dos elementos fundamentales, la probabilidad de que se produzca un hecho y la probable pérdida en caso de que ocurra el hecho citado.

El enfoque cuantitativo de análisis de riesgos se centra en el uso de una sola cifra producida a partir de estos elementos. A esto se le suele denominar comúnmente el “Annual Loss Expectancy” - ALE (Esperanza de pérdida anual) o también “’Estimated Annual Cost” – EAC (Coste anual estimado). La forma de calcularlo para un evento en concreto se realiza mediante la multiplicación de la pérdida potencial por la probabilidad. Gracias a este enfoque, es teóricamente posible clasificar los acontecimientos en orden de riesgo (ALE) a fin de tomar decisiones sobre esta base.

Enfoque cualitativo de análisis de riesgos

Este es, con mucho, la metodología más utilizada para el análisis de riesgos. En este caso, la probabilidad no es necesaria y tan solo es utilizado como factor de cálculo la pérdida potencial estimada.

METODOLOGIA DE ANALISIS DE RIESGO

2008-02-27T07:26:00.000-08:00

http://www.sisteseg.com/files/Microsoft_Word_-_METODOLOGIA_DE_ANALISIS_DE_RIESGO.pdf