Categoría: sistemas y redes

Sistemas operativos, redes, mantenimiento de equipo

Servicios VPN: PPTP vs OpenVPN

en por Donnie Rocken Informática, sistemas y redesDeja un comentario

Conforme nuestros datos en la red son más importantes, y conforme se elaboran nuevas leyes draconianas para acabar no solo con nuestro anonimato, sino también con nuestra privacidad en internet, los servicios que aumenten la seguridad se confidencialidad de nuestros datos se tornan más populares e importantes.

Las redes VPN pasaron al primer plano de la prensa en España durante los debates sobre la ley Sinde-Wert, siendo la forma más fiable de asegurar la confidencialidad de nuestras comunicaciones. Si bien las VPN no son un concepto nuevo, si ha sido el último año y medio el periodo donde han logrado una mayor popularidad y difusión. En una VPN se utilizan varias medidas de seguridad:

  • Autentificación: El usuario que esté al otro lado debe estar autentificado en la red, sabemos a quién le enviamos el mensaje.
  • Integridad: Se usan algoritmos hash como SHA o MD5 para asegurar la integridad de los datos, que no han sido modificados entre el punto de salida y el de llegada.
  • Confidencialidad: Se utilizan algoritmos de clave asimétrica, como AES, para asegurar que sólo puedan ser leídos por el emisor y el receptor, y no por nadie que los intercepte en medio de la comunicación.
  • No repudio: El mensaje tiene que ir firmado, para el que firmante no pueda negar que fue él quien lo envió

Existen varios tipos de VPN (over LAN, tunnelig, punto a punto…), pero eso sería materia suficiente para otra entrada.

¿Y qué servicio de VPN es mejor? Los más populares son PPTP y OpenVPN, cada uno con sus ventajas e inconvenientes. PPTP sobre todo ofrece velocidad mayor a la de OpenVPN, una gran facilidad de configuración y compatibilidad con sistemas operativos de móvil y tablet (Andorid, iOS), pero por contra esta velocidad se gana por reducir las medidas de seguridad (encripta los mensajes sólo en 128 bits y no utiliza certificados digitale).

Por su parte OpenVPN ofrece la mayor estabilidad, encriptación en 256 bits y autentificación con certificados digitales, es un poco más complejo en configuración que PPTP y un poco más lento, pero tampoco en exceso, su configuración es fácil y su rendimiento bueno. Su verdadero contra es que no está disponbile para sistemas operativos móviles.(nota: esto era así cuando escribí el artículo, a día de hoy OpenVPN existe, al menos, para Android y funciona muy bien)

En resumen, la pérdida de velocidad y el aumento de complejidad de OpenVPN no son unos handicaps suficientemente grandes para decantar la balanza hacia PPTP con su menor seguridad. Para equipos de escritorio OpenVPN es la mejor solución, siendo PPTP la mejor opción cuando se trata de dispositivos móviles.

TOR Bundle, navegación anónima

en por Donnie Rocken Informática, sistemas y redes, SoftwareDeja un comentario

En estos tiempos de mayor control sobre nuestras actividades en la red por parte de gobiernos y empresas, donde convocar a gente para una manifestación se ha convertido en un delito, la navegación anónima comienza a tornarse necesidad. En estos casos, soluciones como las VPN o Tor nos permitirán protegernos de los «electric eyes» del sistema.

Tor, en concreto, se trata de una red de proxys, entre tu equipo y el servidor, a través de los que salta tu información cifrada. Los saltos entre nodos se hacen de forma aleatoria, por lo que rastrear la información es muy difícil. Aunque codifica la información, debes pensar que esta se decodifica en el nodo de salida, por lo que podría ser vista en ese punto, así que no es tanto un sistema para mantener en anonimato de tus datos (en ese caso la VPN es más recomendable) como un sistema para evitar sre rastreado, para lo que sí es muy efectivo (aunque nunca 100% fiable). Tor, además, nos permite visitar páginas .onion que, de otra forma, no serían accesibles.

Una forma de utilizar Tor, sin tener que instalar nada, es descargando el ejecutable Tor Bundle, disponible para Windows, Linux y MacOS. Lo primero es descargarlo, desde la página de Tor Project, escogiendo la versión que se adapte a vuestro sistema operativo. Os bajará una carpeta comprimida.

Tras descomprimirla, en windows tenéis que buscar y hacer doble click en el icono «Start Tor Browser», en MacOS en el icono Tor y en Linux ejecutando el script start-tor-browser. Cuando acabe de lanzarse se abrirá Firefox y os confirmará que ya podéis navegar de forma anónima.

Instalar entorno gráfico en Ubuntu Server

en por Donnie Rocken Informática, sistemas y redesDeja un comentario

¿Trasteando con Ubuntu Server? Aunque en principio esté pensado sólo para servidores, en algunos casos te puede venir bien, por su bajo consumo de recursos, para instalarlo en algún equipo old school (eso sí, ten en cuenta que el kernel del server está pensando para lo que está, que es funcionar como servidor, no como ordenador de escritorio, como ya digo, es sólo por si tienes un equipo viejo y quieres revivirlo para tareas puntuales.)

El SO es tan ligero, en gran parte, por carecer de entorno gráfico, ejecutándose todo desde línea de comandos (eso que algunos decían que estaba acabado y desfasado… y ahora Microsoft afirma que sacará versión de Windows Server con la opción «sin entorno gráfico» para ahorrar recursos). Pero a muchos administradores les sigue siendo más  el entorno gráfico, por costumbre. En todo caso, Ubuntu server nos permite instalar un entorno gráfico muy simple y ligero con faciliad. La sintaxis es la siguiente:

sudo apt-get update
sudo apt-get upgrade
sudo apt-get install xserver-xorg gdm xinit

Otra opción para tener entorno gráfico, si ese entorno no os gusta, es meter Fluxbox. La cosa es similar:


sudo apt-get update

sudo apt-get install fluxbox

También pudes contemplar la opción de usar Blackbox:

sudo apt-get update
sudo apt-get install blackbox

Y si te gusta XFCE pues más o menos lo mismo:


sudo apt-get update

sudo apt-get install xubuntu-desktop

Ahora sólo te queda elegir el que mejor se adapte a ti.

Eliminar troyano Sabpab (MacOS)

en por Donnie Rocken Informática, sistemas y redesDeja un comentario

Muchos iFans viven felices en su ignorancia con su equipo con las piernas abiertas a los troyanos al no ponerle antivirus. No suelo arreglar cacharros de Apple por ideología (¿No decías que no tenía virus? Pues entonces no tendré nada que reparar… ), pero el otro día tocaba reparar la cosa, por aquello de la amistad (sí, tengo amigos y parientes maqueros… pasa en las mejores familias).

Este troyano te puede llegar a través de una red P2P o a través de una web infectada, generalmente sin que te des ni cuenta, aprovechándose de una vulnerabilidad de Java (similar a la que usa el famoso Flashback.k que tantos quebraderos dio a los iZombificados hace un par de meses).  En la primera ejecución el troyano crea el fichero /Users/[NombreDeUsuario]/Library/LaunchAgents/com.apple.PubSabAgent.plist por lo que se ejecutará de nuevo en cada reinicio. Además, te hace la gracietta de crearte este otro /Users/ [NombreDeUsuario] /Library/Preferences/com.apple.PubSabAgent.pfile para evitar borrados. Este troyano se conecta a una dirección web por http y abre una puerta trasera en el equipo comprometido para que los atacantes remotos puedan tomar el control del sistema y hacer de tu «invulnerable» Mac una tarta de manzana. Pueden borrar archivos, hacer capturas de pantalla, navegar por tu sistema de ficheros, iniciar procesos, descargar ficheros en el equipo, enviar información desde tu equipo al sitio que quiera el atacante… Vamos, un chiste.

Tranquilo, tienes varias opciones. La mejor, la más fiable: cárgate MacOS e instala Debian o Ubuntu. Ya tengo muy claro que no lo vas a hacer, pero no digas que no te advertí. En vista de que no, descárgate la versión gratuita de Avast desde aquí o, si quieres gastar pasta, hazte con Kaspersky, que es mejor pero de gratis sólo tienes versión de prueba.  Descargas, actualizas y ejecutas. Es una beta, por lo que pinza un poco si haces escaneo en tiempo real de archivos comprimidos, pero por este precio (nada) es lo mejor que tienes para Mac (y si no te gusta me remito a la primra solución).  Para evita reinfecciones asegúrate de actualizar Java en tu equipo, para que no vuelva a infectarte, y ándate con ojo de qué páginas y qué redes visitas.

Recuperar archivos «locked» encriptados por virus GEMA / Policia / SGAE

en por Donnie Rocken Informática, sistemas y redes77 comentarios

En fin, sigo con el virus GEMA que ya ha dado para dos entradas (Policía y SGAE). Hoy me las estoy viendo con una de las secuelas de dicho virus.

La «gracietta» te la está haciendo el troyano Ransom, que tiene el mal vicio de encriptar los archivos y renombrarlos como «locked-nombre del archivo.extesión aleatoria».

Lo primero, lo básico, es tener una copia sin encriptar de alguno de los archivos bloqueados, ya que ambas herramientas que he utilizado requieren de una. La idea es que los programas que usaremos para recuperar utilizarán el par de archivos para extraer la clave de encriptación, comparando el «sano» con el encriptado.

Primero recurriremos a San Kaspersky y su Ranoh Decryptor que podéis bajar desde ese enlace. Lo ejecutáis con permisos de administrador, entráis en Change Parameters, y ahí elegís qué discos queréis inspeccionar y si queréis que se borren las copias encriptadas de los archivos que se van recuperando. Al pulsar Start Scan os pedirá primero la ruta del archivo «sano», el que no ha sido bloqueado y encriptado, y luego os pedirá la del mismo archivo pero bloqueado. Tras elegir los dos, irá buscando y recuperando los archivos encriptados.

En la prueba que hice logró recuperar 19 archivos. No es moco de pavo, pero era un porcentaje muy bajo. Lo siguiente fue descargar Avira-Ramson File Unlocker y descomprimirlo. En este caso la interfaz es más clara: arriba el archivo encriptado, abajo la copia «limpia». Seleccionáis ambos y luego tenéis dos opciones. El botón Unlock folder, que deja elegir una carpeta, y el botón Unlock Single File que nos deja ir uno por uno. En la prueba encontró 3 al usar la selección de toda la carpeta (decepcionante), pero si vas uno por uno los va a arreglando. Parece que falla al reconocer el nombre de los archivos bloqueados. El problema de ir uno por uno, además de que es un coñazo, es que no te permite borrar automáticamente los archivos reparados, y además, la copia recuperada la guarda con el nombre de archivo segido de la extensión .decrypted, por lo que tienes que ir cambiando el nombre a mano a los archivos para que funcionen. Un coñazo, pero si sólo quieres recuperar lo importante y cargarte la paja, es una solución.

En fin, que ya van tres entrada sobre el tema, espero que no de para más.

Eliminar virus SGAE

en por Donnie Rocken Informática, sistemas y redes3 comentarios

No hace muchos días que publicaba cómo eliminar el virus GEMA. Ahora, leo en varias páginas, y hasta escucho en los informativos, hablar de un nuevo virus, esencialmente el mismo pero con un mensaje de la SGAE.

Por lo que parece, esta variante «SGAE» de momento no bloquea el arranque en modo seguro. De forma que puedes probar una restauración del sistema desde la línea de comandos. Durante el arranque pulsas F8, seleccionas la opción Modo seguro con símbolo de sistema y usas el comando C:/Windows/system32\restore\rstrui.exe (bueno, si la unidad de disco es C:, si la carpeta Windows la tenéis en otro disco duro poned la ruta de ese). Con esto deberíais lograr restaurar el equipo en un punto anterior a la infección.

Pero no siempre es tan fácil. Es posible que no puedas hacer la restauración, por lo que en ese caso debes entrar en Modo seguro con funciones de red, en lugar de hacerlo por el símbolo del sistema, y descargar Malwarebytes Antimalware. Tras la descarga e instalación ve a la pestaña Actualizar y allí busca el botón Buscar actualizaciones para que la base de datos del programa esté acualizada. Luego vete a la pestaña Escaner y selecciona Realizar un análisis completo, cuando acabe pulsa Mostrar resultados y en el caso de que se haya encontrado alguna infección pulsa Quitar lo seleccionado.

Si también falla esto o si no os deja entrar ni por símbolo de sistema ni en modo seguro con funciones de red… entonces me remito de nuevo a mi anterior artículo sobre el virus GEMA donde os contaba cómo hacer un disco o usb arrancable para liquidar el virus.

Así que ni gendarmerie, ni policía, ni SGAE… siempre podéis tirar para alante.

Configurando un proxy para navegar por internet

en por Donnie Rocken Informática, sistemas y redesDeja un comentario

Debería repasarme la legislación, porque en varios foros he leído que usar un proxy es ilegal. En cualquier caso, que te pillen haciéndolo es muy poco probable, ademá de que me suena que no. Eso sí, un proxy no es irrastreable, si queréis anonimato las opciones de una red TOR o una VPN son lo que debéis usar.

Lo primero es que veas qué tipos de proxys puedes utilizar:

  • Proxies HTTP y SOCKS
    Estos son los servidores proxy clásicos, de los que necesitamos la
    dirección IP y el puerto para configurar nuestro navegador. Una vez
    configurado, el tráfico del navegador (y no otro tipo de tráfico) se
    enviará a través del proxy elegido.
    Sitios que publican listas de servidores proxy:

    1. Xroxy
    2. Samair.ru
    3. Proxy-list.org
  • Coral CDN:
    The Coral Content Distribution Network es un proxy cache algo
    especial. Permite acceder a cualquier web a través de proxy añadiendo
    .nyud.net al final del dominio. De esta
    forma evitamos el bloqueo tanto a nivel de IP como de DNS.
  • Web proxy:
    Estos proxies se utilizan a través de una web. Pueden ser algo lentos
    pero es la opción más fácil de usar. No requiere configuración previa.
    Basta con visitar la web proxy e introducir la dirección de la web que
    deseamos visitar. Algunas web proxy funcionales son:

    1. Anonymouse
    2. phpMyProxy
    3. HideMyAss

En fin, toda esa info está sacada del «Manual de desobediencia a la ley sinde», más o menos tal cual. En él podéis encontrar cómo configurar IE 7 y 8, Firefox, Chrome, Safari y Opera para navegar. Yo, por mi parte, explicaré aquí como hacerlo SRWareIron (ok, es una navegador muy minoritario, pero los otros ya los tenéis en el manual, aunque realmente es muy similar a cómo hacerlo en Chrome.).

Primero pulsa el botón con una llave inglesa, que abrirá un menú. Pulsa opciones y ahí ve a Avanzadas. En Red pulsa el botón Cambiar la configuración del proxy. Te dirá que usa la configuración por defecto de Windows, así que te abrirá la ventana para modificar las opciones de red. Pulsa el botón Configuración (OJOOOO!!! que hay uno que pone Configurar y aparece más arriba, busca el que pone Configuración). Selecciona el checkbox que pone Usar un servidor proxy para esta conexión y pon la dirección y el puerto, seleccionando también la opción de «No usar para conexiones locales». Con esto ya lo tienes configurado para este fork del Chromium.

En fin, recordad que los proxys suelen ralentizar la navegación, así que hacedlo cuando sea necesario. También puede haber algún agujero de seguridad dentro de ellos.

Instalar JBoss en Linux.

en por Donnie Rocken Informática, Lenguajes de programación, sistemas y redesDeja un comentario

El servidor de aplicaciones Java JBoss es uno de los más populares y utilizados. Su instalación en Linux no plantea demasiados problemas siguiendo unos sencillos pasos:

Lo primero es descargar JBoss desde su página oficial. Tenéis que tener en cuenta qué versión del JDK de Java tienes instalado, para saberlo basta con ejecutar java -version en el terminal, y nos devolverá la información sobre la versión de Java instalada. Recuerda, la versión del JDK y la de JBoss han de ser compatibles entre sí.

Luego debes desempaquetar el .zip descargado en algún directorio donde tengas permisos de
lectura y escritura.

Tras descomprimir el zip queda ajustar las variables de entorno, más concretamente que la variable JBOSS_HOME apunte al directorio de instalación de JBoss. En el archivo .bashrc localizado en el home agrega la sentencia: export JBOSS_HOME= seguida del fichero donde descomprimieras el .ZIP en el paso anterior. También tienes que comproba que JAVA_HOME esté apuntando al directorio de instalación del JDK.

Si vas a utilizar el API de persistencia de Java (JPA), tendrás que instalar el archivo jar del driver JDBC en el directorio $JBOSS_HOME/server/default/lib; donde default es la configuración utilizada por JBoss.

A la hora de arrancar JBoss tenéis varias opciones (all, default, minimal, standard, web). Por defecto arranca en default, pero para iniciar JBoss con una configuración distinta a esta se debe ejecutar: $JBOSS_HOME/bin/run.sh -c, seguido de la opción (por ejemplo $JBOSS_HOME/bin/run.sh -c all).

Instalar LAPP en Debian (Apache/PHP/Postgres)

en por Donnie Rocken Informática, sistemas y redes, Software, SQL2 comentarios

En fin, con esto ya está instalado el servidor y el PHP, y además iniciado el servicio de Apache para que puedas testear el funcionamiento de la instalación. El siguiente paso será la instalación de PostgreSQL 9.1 que, de momento, no está incluída en los repositorios oficiales de Debian (donde todavía está la 8.4), por lo que habrá que tirar del repositorio Debiak-Backports, donde tienen las últimas de versiones de software para Debian. Basta con añadir la línea deb squeeze-backports main en el fichero /etc/apt/sources.list y listo, ya tienes el repositorio disponible. Con esto ya sólo tenemos que actualizar repositorios e instalar tal que así:

$sudo apt-get update
$sudo apt-get -t squeeze-backports install postgresql-9.13.1

Ahora será el momento de configurar la contraseña de Postgres. Primero hemos de asumir la identidad del usuario postgres. A continuación, accedemos al cliente de linea de ordenes de PostgreSQL.Una vez dentro, cambiamos el password. Todo esto como en el ejemplo de código:

$sudo su postgres
$psql
postgres=# alter user postgres with password ‘passwd’;

El sistema debe responder con un:ALTER ROLE postgres=# Salimos del cliente de linea de ordenes con la orden:postgres=#\q Y salimos de la cuenta en el sistema del usuario postgres con un simple:$exit

Por defecto, PostgreSQL sólo atiende peticiones provenientes de la máquina local. Si estamos configurando un servidor remoto, deberemos habilitar el acceso desde otras IPs. Debemos editar el fichero /etc/postgresql/9.1/main/postgresql.conf. Busca la línea #listen-address = ‘localhost’ la copiala debajo, la descoméntala y modifícala. Si queremos poermitir el acceso de todas las IP habría que poner listen-address = ‘*’ mientras que si queremos utilizar varias IP concretas sólo tenemos que pasarle las direcciones, separadas por comas tipo listen-address = ‘192.168.0.6,192.168.0.8’

Tras esto lo primero que hay que hacer es dar ciertos permisos locales, dado que Postgres es muy restrictivo en esto en su instalación por defecto. Hay que editar el fichero /etc/postgresql/9.1/main/pg_hba.conf. Busca la línea local all postgres peer y cámbiala por local all postgres md5 con lo que permitimos al usuario postgres conectarse desde la maquina local, usando una contraseña encriptada con md5.Lo siguiente es acceso a cualquier cuenta de usuario desde la maquina local siempre que se especifique una contraseña encriptada mediante md5.Busca la línea cuyo contenido es:local all all peer y cámbialo por local all all md5, con lo que ya estará.

Finalmente debemos configurar los permisos de acceso remoto. Se trata de tratar las siguientes cuestiones:¿Qué usuarios tienen permiso para conectarse?¿Desde qué IPs lo pueden hacer?¿A qué bases de datos?¿Qué método de auteticación usarán?. Eso ya lo dejo en tus manos y tienes varios tutoriales sobre cómo hacerlo por la red adelante. También puedes probar siriviéndote de la ayuda del sistema, el fichero donde se dan los permisos es /etc/postgresql/9.1/main/pg_hba.conf

Para permitir el subir y bajar archivos de forma remota, finalmente, debemos instalar un servidor FTP, en este caso ProFTP. Requiere un poco de configuración tras la instalación:

$sudo apt-get install proftpd

Durante la instalación nos preguntará qué modo de funcionamiento queremos elegir, en este caso standalone. Luego habrá que configurar el servidor para que el directorio raíz del servidor FTP sea el mismo que el directorio raíz del servidor web, permitiendo de esa forma subir y bajar los archivos publicados en Apache. Hay que modificar el fichero /etc/proftpd.conf y añadir

<global>
  DefaultRoot /var/www
   var/www >
     All> AllowAll
   </directory>
</global>

Finalmente reiniciamos el servidor para que todos los servicios estén arrancados, y ya podemos probar todo el funcionamiento.

Amplificar la señal del router wifi

en por Donnie Rocken Informática, sistemas y redes1 comentario

Vaya por delante que al momento de escribir esta entrada no he probado el funcionamiento de dicho «gadget», por llamarlo de alguna forma, pero me fiaré de varios tutoriales que he visto por internet. En todo caso, esta semana iré por casa de mis padres, así que podré comprobar su funcionamiento.

El caso es que dicha casa tiene varios pisos, y el router está en la planta baja, por lo que la señal apenas llega hasta la habitacion donde duermo, en el último piso. La señal es mínima, y la interferencia de las redes de las casas vecinas, que usan frecuencias similares, limita todavía más el alcance. En un principio pensé en usar una vieja antena wifi que usaba en mi antiguo ordenador, haciéndole algún apaño para aumentar su recepción, pero luego he visto que es más fácil y barato amplificar la señal del router. Por otra parte, también podría hacer ambas cosas.

En esa foto puedes ver cómo viene siendo el invento. Los materiales son simples: un trozo de cartón fino, papel de aluminio y pegamento.

La idea es que cortes el cartón en un trozo de algo menos que el alto de la antena del router, y y que de ancho ocupe un poco más del ancho del router (en la foto puedes ver tamaño y forma más o menos). Has de moldear un poco el cartón para darle una cierta forma parabólica, luego corta papel de aluminio de ese tamaño y pégalo bien al cartón. Luego sujétalo a la antena por detrás para que se mueva y oriéntala en la dirección en que quieres recibir la señal.

Como ya he dicho, no he probado la eficacia de este sistema. En su día había probado una antena hecha con una caja de Pringles (que estaban bastante de moda) y la cosa iba bien. Esta semana experimentaré. Ya os contaré.