lunes, 28 de abril de 2008

Flisol 2008

El evento se realizo el sábado 26 de abril en el parque explora.
Hubo mucha participación por parte de la gente que asistió al evento les pareció muy bueno a pesar de que varias personas no sabían nada acerca de software libre, aprendieron mucho por que estaban interesados en el tema y se fueron contentos con lo aprendido.
Me pareció que hubo un buen numero de personas que asistieron a pesar de que llovió mucho, el evento tubo muy buenos temas a pesar de que no pude asistir a ninguna conferencia por que yo estaba participando con las maquinas virtuales , nos fue muy bien ala gente le gusto mucho se interesaron en el tema y se llevaron el instalador para trabajar en sus computadores .

Estas son algunas fotos del evento:































lunes, 21 de abril de 2008

Firmas Digitales

Es la transmisión de mensajes telematicos y en la gestión de documentos electronicos , un método criptografico que asocia la identidad de una persona o de un equipo informático al mensaje o documento. En función del tipo de firma, puede, además, asegurar la integridad del documento o mensaje.

Funcionamiento de la firma digital:
La firma digital de un documento no es un passwords, es el resultado de aplicar cierto algoritmo matemático, denominado función hash , al contenido. Esta función asocia un valor dentro de un conjunto finito (generalmente los números naturales) a su entrada. Cuando la entrada es un documento, el resultado de la función es un número que identifica casi unívocamente al texto. Si se adjunta este número al texto, el destinatario puede aplicar de nuevo la función y comprobar su resultado con el que ha recibido.



Por que las firmas digitales:

  • Para proveer Integridad, Autenticidad y no repudio a la informacion digital.
  • Para utilizar internet de forma segura y todo lo relacionado con el mundo de los bits
El propósito de una firma es asociar la identidad del firmante con la información registrada en el
documento (autenticidad).

Criptografia

Es el arte o ciencia de cifrar y descifrar informacion utilizando técnicas que hagan posible el intercambio de mensajes de manera segura que sólo puedan ser leídos por las personas a quienes van dirigidos.

unas de las finalidades de la criptografia es:en primer lugar, garantizar el secreto en la comunicación entre dos entidades (personas, organizaciones, etc.) y, en segundo lugar, asegurar que la información que se envía es auténtica en un doble sentido: que el remitente sea realmente quien dice ser y que el contenido del mensaje enviado, habitualmente denominado criptograma, no haya sido modificado en su tránsito.

La historia de la criptografía es larga y abunda en anécdotas. Ya las primeras civilizaciones desarrollaron técnicas para enviar mensajes durante las campañas militares de forma que si el mensajero era interceptado la información que portaba no corriera el peligro de caer en manos del enemigo. Posiblemente, el primer criptosistema que se conoce fuera documentado por el historiador griego Polibio: un sistema de sustitución basado en la posición de las letras en una tabla.





Metodos de la Criptografia



  • Criptografia simetrica: es el método criptográfico que usa una misma clave para cifrar y descifrar mensajes. Las dos partes que se comunican han de ponerse de acuerdo de antemano sobre la clave a usar. Una vez ambas tienen acceso a esta clave, el remitente cifra un mensaje usándola, lo envía al destinatario, y éste lo descifra con la misma clave.

Como ejemplo de sistema simétrico está Enigma. Éste fue un sistema empleado por Alemania durante la segunda guerra mundial , en el que las claves se distribuían a diario en forma de libros de codigos. Cada día, un operador de radio, receptor o transmisor, consultaba su copia del libro de códigos para encontrar la clave del día. Todo el trafico enviado por ondas de radio durante aquel día era cifrado y descifrado usando las claves del día.

El principal problema con los sistemas de cifrado simétrico no está ligado a su seguridad, sino al intercambio de claves. Una vez que el remitente y el destinatario hayan intercambiado las claves pueden usarlas para comunicarse con seguridad, pero ¿qué canal de comunicación que sea seguro han usado para transmitirse las claves? Sería mucho más fácil para un atacante intentar interceptar una clave que probar las posibles combinaciones de espacio de claves.

Algunos ejemplos de algoritmos simétricos son:


  • criptografia asimetrica:es el método criptografico que usa un par de claves para el envío de mensajes. Las dos claves pertenecen a la misma persona a la que se ha enviado el mensaje. Una clave es pública y se puede entregar a cualquier persona, la otra clave es privada y el propietario debe guardarla de modo que nadie tenga acceso a ella. El remitente usa la clave pública del destinatario para cifrar el mensaje, y una vez cifrado, sólo la clave privada del destinatario podrá descifrar este mensaje.

Los sistemas de cifrado de claves publicas o sistemas de cifrado asimetricos se inventaron con el fin de evitar por completo el problema del intercambio de claves de los sistemas de cifrado simétricos. Con las claves públicas no es necesario que el remitente y el destinatario se pongan de acuerdo en la clave a emplear. Todo lo que se requiere es que, antes de iniciar la comunicación secreta, el remitente consiga una copia de la clave pública del destinatario. Es más, esa misma clave pública puede ser usada por cualquiera que desee comunicarse con su propietario.

Algunos algoritmos de técnicas de clave asimétrica son:

Otros algoritmos de clave asimétrica pero inseguros:


Desventajas con respeto a las cifras cimetricas:

La mayor ventaja de la criptografía asimétrica es que se puede cifrar con una clave y descifrar con la otra, pero este sistema tiene bastantes desventajas:

  • Para una misma longitud de clave y mensaje se necesita mayor tiempo de proceso.
  • Las claves deben ser de mayor tamaño que las simétricas.
  • El mensaje cifrado ocupa más espacio que el original.

miércoles, 9 de abril de 2008

VPN

Una vpn (virtual private network) es una red privada virtual la cual es una tecnología de red que permite una extensión de una red local sobre una publica como lo es internet, un ejemplo de esto es conectar dos sucursales de una empresa utilizando como canal internet.
Para hacerlo posible de manera segura es necesario proporcionar los medios para garantizar la autenticación, integridad y confidencialidad de toda la comunicación.
utilizar vpn tiene varias ventajas como la integridad, confidencialidad, y seguridad de los datos y las redes virtuales reducen costos y son sencillas de utilizar.

Tipos de VPN:

VPN de acceso remoto
:
Es quizás el modelo más usado actualmente y consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hotel, aviones preparadas), etcétera) utilizando Internet como vínculo de acceso.

VPN punto a punto:
Este esquema se utiliza para conectar oficinas remotas con la sede central de la organización. El servidor VPN que posee un vínculo permanente a Internet, acepta las conexiones vía Internet provenientes de los sitios y establece el túnel VPN.

Tunneling:
esta técnica consiste en abrir conexiones entre dos máquinas por medio de un protocolo seguro, como puede ser SSH (Secure SHell), a través de las cuales realizaremos las transferencias inseguras, que pasarán de este modo a ser seguras.

VPN interna WLAN
:
Este esquema es el menos difundido pero uno de los más poderosos para utilizar dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en vez de utilizar Internet como medio de conexión, emplea la misma red de área local LAN de la empresa. Sirve para aislar zonas y servicios de la red interna. Esta capacidad lo hace muy conveniente para mejorar las prestaciones de seguridad de las redes inalámbricas (WiFi).


Información tomada de http://es.wikipedia.org


imagen de una VPN:



Fwbuilder

Es una GUI para iptables.
iptables es un subsistema extremadamente poderoso y flexible para crear muros cortafuegos. iptables sirve para hacer un filtrado de paquetes efectivo, todos los tipos de Network Address Translation (NAT), y otros procesamientos avanzados de paquetes.

esta GUI les facilita el trabajo a la personas que no le gusta trabajar por consola de comandos esta es una aplicaion libre que esta liberada bajo licencia GPL
y actualmente soporta iptables, ipfilter, OpenBSD, PF, y Cisco PIX.

Iptables:
Es un sistema de seleccion de paquetes formado por un sistema de tablas que permite definir reglas para seleccionar los paquetes.
tablas principales.

Ipfilter:
(comúnmente denominado ipf) es un paquete de software que se pueden utilizar para proporcionar traducción de direcciones de red (NAT) o servidor de seguridad de servicios.

OpenBSD:es un sistema operativo libre tipo unix multiplataformas basado 4.4BSD. Es un decendiente de netBSD, especializado en seguridad y criptografia.

PF (Packet Filter) es el filtro de paquetes o cortafuegos basado en configuración dinámica (stateful rules) de openBSD escrito por Daniel Hartmeier.

Cisco PIX: pix es el acronimo de Private Internet EXchange.
Esta sigla es utilizada por el fabricante tecnológico cisco, para referirse a sus modelos de equipos cortafuegos (FireWalls). PIX es una de las soluciones de seguridad ofrecidas por Cisco Systems; se trata de un firewall completamente hardware.

Esta es el entorno grafico de Fwbuilder:

-esta ima gen es de la tabla NAT:


-y esta es la imagen de la configuracion de una de las interfaces

Scripts

Es un pequeño programa creado en lenguaje de programacion para hacer que las tareas se han un poco mas fáciles y rápidas cuando es muy repetitiva, esto ayuda a los administradores de red ahorrarse trabajo por que con el scrip no tiene que repetir varias veces la tarea sino que corren el programa y el loba a repetir las veces que se allá indicado en la configuracion.

ejercicio en lenguaje bash:

-crear un programa para hacer ping y si no responde que mande una advertencia al correo:

#!/bin/bash

read -p "ingrese una direccion ip: " dirip
if $ (ping $dirip -c3 -i2 > /home/x ) #el resultado del ping va hacer direccionado a un archivo en el home del usuario x

then
echo "la maquina $dirip responde "
else

echo" la maquina $dirip no responde " | mail -s X@gmail.com #esta linea es por si no responde el ping mande una
advertencia al correo del usuario X
fi #con este fi terminamos


*las lineas que estan con el simbolo # estan comentadas esto significa que son solo comentarios por lo tanto no va a influir en el scrip y lo que esta en negrilla es el Scrip.



martes, 8 de abril de 2008

ISA SERVER

Microsoft Internet Security and Acceleration Server (ISA Server) es un proxy firewall que trabaja en las capas 3 (red) y 7 (aplicacion) del modelo osi, el cual analiza el encabezado de los paquetes ip y el contenido en busca de filtrar trafico sospechoso, el isa server también trabaja con vpn y como Web cache.

Actualmente Isa server 2006 es la ultima versión la cual puedes obtener haciendo clic aquí.

para poder instalar isa server necesitamos una maquina con los siguientes requerimientos:

Requisitos del sistema

Sistemas operativos compatibles: Windows Server 2003 Service Pack 1

• PC con CPU a 733 MHz o superior compatible con Pentium III.
• Sistema operativo Microsoft Windows Server™ 2003 con Service Pack 1 (SP1).
• 512 megabytes (MB) de memoria.
• 150 MB de espacio disponible en disco duro. Este espacio en disco excluye el que pueda necesitar el almacenamiento en caché.
• Adaptador de red compatible con el sistema operativo del equipo para las comunicaciones con la red interna.
• Adaptador de red adicional para cada red conectada al equipo servidor ISA.
• Partición del disco duro local con el formato del sistema de archivos NTFS.

Acontinuacion podemos observar unos pantallasos de la intalacion de isa server:



1.Este es el mensaje de Bienvenida a la instalacion de isa server 2006 :





2. esta es licencia de isa server:


3.opciones de instalacion de empresa



4. el programa empieza el proceso de instalacion



5. el programa pide el cd #2 de windows server (R2)



6.y ya con esto completamos la instalación


esta es una imagen de algunas politicas hechas en el isa server

miércoles, 2 de abril de 2008

Squid

es un popular programa de software libre que implementa un servidor proxy y un demonio para cache de páginas web publicado bajo licencia GPL. Tiene una amplia variedad de utilidades, desde acelerar un servidor web , guardando en caché peticiones repetidas a dns y otras búsquedas para un grupo de gente que comparte recursos de la red, hasta caché de web, además de añadir seguridad filtrando el tráfico. Está especialmente diseñado para ejecutarse bajo entornos tipo Unix.

Caché transparente

Squid puede ser configurado para ser usado como proxy transparente de manera que las conexiones son enrutadas dentro del proxy sin configuración por parte del cliente, y habitualmente sin que el propio cliente conozca de su existencia. De modo predefinido Squid utiliza el puerto 3128 para atender peticiones, sin embargo se puede especificar que lo haga en cualquier otro puerto disponible o bien que lo haga en varios puertos disponibles a la vez.

Control de acceso

Ofrece la posibilidad de establecer reglas de control de acceso. Esto permite establecer políticas de acceso en forma centralizada, simplificando la administración de una red.

Aceleración de servidores HTTP

Cuando un usuario hace petición hacia un objeto en Internet, este es almacenado en el caché, si otro usuario hace petición hacia el mismo objeto, y este no ha sufrido modificación alguna desde que lo accedió el usuario anterior, Squid mostrará el que ya se encuentra en el caché en lugar de volver a descargarlo desde Internet. Esta función permite navegar rápidamente cuando los objetos ya están en el caché y además optimiza enormemente la utilización del ancho de banda.


icp_port, en este parametro debemos especificar el puerto que va a utilizar el protocolo ICP (Internet Cache Protocol) que es el protocolo por el cual se comunican los proxies hermanos para intercambiar sus caches.

cache_dir es el parametro que especifica el tamaño de la cache en el disco duro.

cache_peer se utiliza para decirle al proxy que hay otro servidor proxy en la misma red.

Las acl's especifican las redes, maquinas en particular, acciones o caracteristicas.

http_access, estas son las reglas de control de acceso que permiten o deniegan el acceso a paginas web especificadas en el Squid especificado en las listas de control de acceso. (A cada acl se le debe asignar una regla de control de acceso).


ejercicio de squid


Ejercicio

1. Crear listas negras (archivos) para bloquear los siguientes contenidos.
para cada categoria se debe crear una lista negra. Cada archivo tendra al menos dos registros

porno
Chat_correos
Deportes
Descargas
Juegos

2. Bloquear a todos los usuarios en la red la negacion de los usuarios en las listas negras.

3. Bloquear a todos los usuarios las descargas y reproduccion de archivos .exe .mp3 .mpg .wav .iso .zip .rar.

4. La negacion debe restringirse a horarios locales de lunes a viernes de 8 a 12 am y de 1 a 4:30 pm.

5. Existe un usuario sin ninguna sin ninguna restriccion 10.3.6.208.

6. Los usuarios de la red pueden acceder a paginas de correo gratuito y chat solamente solamente en el horario del almuerzo --> 12:00-13:00.

7. Configurar su maquina para que trabaje como proxy-transparente.


SOLUCION



http_port 3128 transparent
visible_hostname sena
icp_port 0
cache_mem 16 MB
cache_dir ufs /var/spool/squid 100 16 256
cache_peer proxylan.sena.edu.co parent 8080 0 default
acl profe src 10.3.6.248
acl Hora1 time MTWHF 08:00-12:00
acl Hora2 time MTWHF 13:00-16:30
acl ficheros urlpath_regex -i "/etc/squid/acl/ficheros"
acl porno url_regex "/etc/squid/acl/porno"
acl chat url_regex "/etc/squid/acl/chat_correos"
acl descarga url_regex "/etc/squid/acl/descargas"
acl sitios-web dstdomain "/etc/squid/acl/sitios-web"
acl deporte url_regex "/etc/squid/acl/deportes"
acl juegos url_regex "/etc/squid/acl/juegos"
acl correos_gratuitos url_regex "/etc/squid/acl/correos_gratuitos"
acl almuerzo time MTWHF 12:00-13:00
acl all src 0.0.0.0/0.0.0.0
acl localnet src 10.3.6.128/255.255.255.128


http_access allow profe
http_access allow localnet almuerzo correos_gratuitos
http_access deny sitios-web
http_access deny ficheros
http_access deny porno
http_access deny chat
http_access deny descarga
http_access deny deporte
http_access deny juegos
http_access allow localnet Hora1
http_access allow localnet Hora2
http_access deny all





# SE DEBE CONFIGURAR LA TABLA NAT PARA QUE EL PROXY QUEDE COMO TRANSPARENTE:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128